Gli analisti di Sophos stanno indagando su una campagna di distribuzione malware persistente e a più stadi che prende di mira gli utenti WhatsApp in Brasile. Osservata per la prima volta il 24 settembre 2025, la campagna (tracciata come STAC3150) distribuisce allegati in formato archivio contenenti uno script downloader che recupera molteplici payload di seconda fase. All’inizio di ottobre, i ricercatori del Counter Threat Unit™ (CTU) hanno descritto l’attività associata a una campagna separata, anch’essa basata in Brasile, in cui gli aggressori hanno sfruttato WhatsApp per distribuire il trojan bancario Maverick, destinato al furto di credenziali.
In STAC3150, i payload di seconda fase includono uno script che raccoglie informazioni sui contatti WhatsApp e dati di sessione, e un installer che distribuisce il trojan bancario Astaroth (noto anche come Guildma) (vedi Figura 1).
Leggi l’articolo completo.
