Ricercatori cybersecurity hanno rivelato i dettagli di una nuova campagna che utilizza WhatsApp come vettore di distribuzione per un trojan di phishing chiamato Astaroth in attacchi mirati al Brasile. La campagna, chiamata Boto Cor-de-Rosa, è stata scoperta dall’Acronis Threat Research Unit. Il malware ottiene l’elenco dei contatti WhatsApp della vittima e invia automaticamente messaggi maligni a ciascun contatto per diffondere ulteriormente l’infezione.
Caratteristiche del malware
Il core del payload di Astaroth rimane scritto in Delphi e il suo installatore si basa su script Visual Basic, mentre il nuovo modulo del worm basato su WhatsApp è implementato interamente in Python. Ciò evidenzia l’aumento dell’uso di componenti modulati multi-lingue da parte degli attori minacciosi. Il malware, noto anche come Guildma, è un malware di phishing che è stato rilevato in natura dal 2015, principalmente mirato agli utenti in America Latina, in particolare in Brasile, per facilitare il furto di dati.
Metodi di diffusione
L’uso di WhatsApp come veicolo di consegna per trojan di phishing è una nuova tattica che ha guadagnato terreno tra gli attori minacciosi che prendono di mira gli utenti brasiliani, alimentata dall’ampio utilizzo della piattaforma di messaggistica nel paese. La campagna Boto Cor-de-Rosa è un esempio di come i malware possano essere diffusi attraverso WhatsApp, con il malware che si propaga attraverso messaggi maligni inviati ai contatti della vittima.
