I ricercatori di cybersecurity hanno rivelato i dettagli di una nuova campagna che sfrutta WhatsApp come vettore di distribuzione per un trojan bancario chiamato Astaroth, mirato principalmente agli utenti in Brasile. Questa campagna è stata denominata Boto Cor-de-Rosa dall’unità di ricerca sulle minacce di Acronis.
Il malware recupera la lista dei contatti WhatsApp della vittima e invia automaticamente messaggi malevoli a ciascun contatto per diffondere ulteriormente l’infezione. Sebbene il payload principale di Astaroth rimanga scritto in Delphi e il suo installer si basi su script Visual Basic, il nuovo modulo worm basato su WhatsApp è interamente implementato in Python, evidenziando l’uso crescente di componenti modulari multilingue da parte degli attori delle minacce.
Astaroth, noto anche come Guildma, è un malware bancario rilevato in natura dal 2015, che prende di mira principalmente gli utenti in America Latina, in particolare in Brasile, per facilitare il furto di dati. Nel 2024, sono stati osservati diversi cluster di minacce, tracciati come PINEAPPLE e Water Makara, che sfruttano email di phishing per propagare il malware.
L’uso di WhatsApp come veicolo di consegna per i trojan bancari è una nuova tattica che ha guadagnato terreno tra gli attori delle minacce che prendono di mira gli utenti brasiliani, una mossa alimentata dall’uso diffuso della piattaforma di messaggistica nel paese. Il mese scorso, Trend Micro ha dettagliato l’affidamento di Water Saci su WhatsApp per diffondere Maverick e una variante di Casbaneiro.
Sophos, in un rapporto pubblicato nel novembre 2025, ha affermato di monitorare una campagna di distribuzione di malware a più stadi, denominata STAC3150, che prende di mira gli utenti di WhatsApp in Brasile con Astaroth. Più del 95% dei dispositivi colpiti si trovava in Brasile e, in misura minore, negli Stati Uniti e in Austria.
L’attività, attiva almeno dal 24 settembre 2025, distribuisce archivi ZIP contenenti uno script downloader che recupera uno script PowerShell o Python per raccogliere dati degli utenti di WhatsApp per ulteriore propagazione, insieme a un installer MSI che distribuisce il trojan. Le ultime scoperte di Acronis sono una continuazione di questa tendenza, dove i file ZIP distribuiti tramite messaggi WhatsApp fungono da punto di partenza per l’infezione da malware.
Quando la vittima estrae e apre l’archivio, si imbatte in uno script Visual Basic mascherato da file benigno. L’esecuzione di questo script attiva il download dei componenti di fase successiva e segna l’inizio della compromissione.
Questo include due moduli: un modulo di propagazione basato su Python che raccoglie i contatti WhatsApp della vittima e inoltra automaticamente un file ZIP malevolo a ciascuno di essi, portando efficacemente alla diffusione del malware in modo simile a un worm. Un modulo bancario che opera in background e monitora continuamente l’attività di navigazione web della vittima, attivandosi quando vengono visitati URL relativi a banche per raccogliere credenziali e consentire guadagni finanziari. L’autore del malware ha anche implementato un meccanismo integrato per tracciare e segnalare le metriche di propagazione in tempo reale.
Considerazioni finali
Questa campagna di malware evidenzia l’evoluzione delle tattiche utilizzate dagli attori delle minacce, che ora sfruttano piattaforme di messaggistica popolari come WhatsApp per diffondere trojan bancari. L’uso di componenti modulari multilingue, come il modulo worm basato su Python, dimostra un approccio sofisticato e adattabile. Gli utenti devono essere sempre più vigili e adottare misure di sicurezza adeguate per proteggere i propri dispositivi e dati personali da queste minacce in continua evoluzione.
Fonte: The Hackers News
