Una nuova campagna di malware sta sfruttando WhatsApp come canale di diffusione per Astaroth, un trojan bancario per Windows noto anche come Guildma, con un focus particolare sugli utenti in Brasile. La minaccia si distingue per la capacita di comportarsi come un vero worm, cioe di propagarsi automaticamente da una vittima ai suoi contatti, aumentando in modo rapido la superficie di attacco e la probabilita di nuove infezioni.
Il meccanismo di infezione parte da messaggi WhatsApp che invitano ad aprire un archivio ZIP. All interno del file compresso si trova un componente mascherato da documento innocuo, in realta uno script Visual Basic. Quando l utente lo esegue, si avvia una catena a piu fasi che scarica ulteriori componenti, inclusi script PowerShell o Python, e infine installa un pacchetto MSI che porta sul sistema il trojan bancario.
L elemento piu rilevante e la presenza di un modulo di propagazione basato su Python, progettato per estrarre la lista dei contatti WhatsApp della vittima e inviare automaticamente lo stesso ZIP malevolo a ciascun contatto. In questo modo l attacco sfrutta la fiducia tra persone reali, rendendo piu credibile il messaggio e piu efficace l ingegneria sociale. L uso combinato di piu linguaggi, con payload principale in Delphi, installazione tramite Visual Basic e worm in Python, indica un approccio modulare e flessibile che puo essere aggiornato rapidamente.
Oltre alla diffusione, Astaroth include un modulo bancario che opera in background e monitora la navigazione web. Quando rileva l accesso a URL legati a servizi finanziari, attiva funzioni di raccolta credenziali e dati sensibili, con l obiettivo di ottenere accesso agli account e monetizzare tramite frodi. E stato inoltre osservato un sistema interno di telemetria che registra metriche di propagazione, come messaggi inviati con successo, tentativi falliti e velocita di invio, consentendo agli attaccanti di misurare in tempo reale l efficacia della campagna.
La scelta di WhatsApp in Brasile non e casuale: la piattaforma e estremamente diffusa e viene gia utilizzata da altri trojan bancari per distribuire file e link. Per ridurre il rischio, e fondamentale non aprire archivi ZIP ricevuti via chat senza una verifica diretta, diffidare di file con estensioni insolite o nomi ambigui e mantenere aggiornati sistema operativo e soluzioni di sicurezza su Windows.
