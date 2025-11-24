Ricerche sulle CyberMinacce

Compromissione di WhatsApp porta al deployment di Astaroth

Un’altra campagna che prende di mira gli utenti WhatsApp in Brasile si diffonde come un worm ed impiega molteplici payload per il furto di credenziali, il dirottamento di sessione e la persistenza
24 Novembre 2025
Gli analisti di Sophos stanno indagando su una campagna di distribuzione malware persistente e a più stadi che prende di mira gli utenti WhatsApp in Brasile. Osservata per la prima volta il 24 settembre 2025, la campagna (tracciata come STAC3150) distribuisce allegati in formato archivio contenenti uno script downloader che recupera molteplici payload di seconda fase. All’inizio di ottobre, i ricercatori del Counter Threat Unit™ (CTU) hanno descritto l’attività associata a una campagna separata, anch’essa basata in Brasile, in cui gli aggressori hanno sfruttato WhatsApp per distribuire il trojan bancario Maverick, destinato al furto di credenziali.

In STAC3150, i payload di seconda fase includono uno script che raccoglie informazioni sui contatti WhatsApp e dati di sessione, e un installer che distribuisce il trojan bancario Astaroth (noto anche come Guildma) (vedi Figura 1).

Figura 1: Catena d’attacco nella campagna WhatsApp STAC3150

Colin is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, focusing on threat actor identification, incident response and working alongside detection engineers to address emerging threats. In past roles he worked in the financial sector performing internal and external penetration testing.

