巴西出现 WhatsApp 蠕虫病毒，借自动群发功能传播 Astaroth 银行木马

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了一起新型攻击活动的细节：攻击者以 WhatsApp 为传播载体，向巴西用户投放一款名为 Astaroth 的 Windows 银行木马。

该攻击活动被安克诺斯威胁研究团队命名为 “粉红河豚”。

这家网络安全公司在提交给thehackernews的一份报告中指出：“该恶意软件会获取受害者的 WhatsApp 联系人列表，并自动向每位联系人发送恶意消息，以此扩大感染范围。

报告还提到：“Astaroth 木马的核心程序仍由德尔福语言编写，安装程序则依托 VB 脚本运行；而此次新增的 WhatsApp 蠕虫模块，完全采用 Python 语言开发。这一特征凸显出威胁攻击者正越来越多地使用多语言模块化组件。”

Astaroth 木马又名 “吉尔达马”，自 2015 年起便在网络环境中被发现，其攻击目标主要集中在拉美地区，尤其是巴西，攻击目的是窃取用户数据。2024 年，安全人员监测到多个威胁集群（代号分别为 “菠萝” 和 “水玛卡拉”）通过钓鱼邮件传播该木马。

对巴西用户而言，利用 WhatsApp 传播银行木马是一种新兴攻击手段，其兴起的原因在于这款即时通讯软件在巴西的极高普及率。就在上月，趋势科技曾披露另一威胁集群 “水萨西”，同样借助 WhatsApp 传播 “特立独行” 木马和 “卡斯巴内罗” 木马变种。

2025 年 11 月，赛门铁克发布的一份报告显示，该机构正在追踪一个名为 “STAC3150” 的多阶段恶意软件传播活动。该活动同样以巴西的 WhatsApp 用户为目标，传播 Astaroth 木马。受影响的设备中，超过 95% 位于巴西，另有少量分布在美国和奥地利。

这项攻击活动至少从 2025 年 9 月 24 日起就已活跃。攻击者通过发送包含下载器脚本的 ZIP 压缩包发起攻击：该脚本会获取 PowerShell 或 Python 脚本，用于收集 WhatsApp 用户数据以进一步传播；同时，压缩包内还包含一个 MSI 格式的安装程序，负责部署木马。安克诺斯此次的发现，正是这一攻击趋势的延续 —— 以 WhatsApp 消息分发 ZIP 文件，作为恶意软件感染的切入点。

安克诺斯公司介绍：“当受害者解压并打开该压缩包时，会看到一个伪装成正常文件的 VB 脚本。一旦执行该脚本，就会触发下一阶段恶意组件的下载流程，标志着设备入侵正式开始。”

恶意软件核心模块

该恶意软件包含两大核心功能模块：

1. Python 传播模块：收集受害者的 WhatsApp 联系人信息，并自动向每位联系人转发恶意 ZIP 文件，以蠕虫传播的方式扩大感染范围。
2. 银行木马模块：在设备后台持续运行，实时监控受害者的网页浏览行为；一旦检测到用户访问银行相关网址，便会立即激活，窃取用户登录凭证，帮助攻击者实现经济牟利。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文