「Astaroth」と呼ばれる有名で危険なバンキングマルウェアが、WhatsAppに紛れ込むことで、人々の生活に侵入する新たな手口を見つけました。これらの調査結果はAcronis Threat Research Unit(TRU)によるもので、正式なレポートは2026年1月8日(木)に公開されました。
Acronisは「Boto Cor-de-Rosa」と名付けられた新たなキャンペーンを特定しました。このキャンペーンでは、マルウェアがデジタルワームのように振る舞い、ある人物の連絡先リストから次の人物へと自動的に拡散し、主にブラジル人を標的にしています。
主任研究者のJozsef Gegeny氏とJonathan Micael氏は、Hackread.comと共有されたブログ投稿の中で、運用者は通常メールを悪用してきたものの、この新たな戦術はチャットアプリに寄せる信頼を悪用するものだと指摘しています。
マルウェアが侵入する仕組み
どのユーザーにとっても、WhatsAppで友人からファイルを受け取ることは、見知らぬメールを開くよりはるかに安全に感じられます。まさにハッカーが当てにしているのはそこです。攻撃はZIPアーカイブ(要するに圧縮フォルダー)を含むメッセージから始まり、通常は552_516107-a9af16a8-552.zipのような紛らわしい数字列の名前が付けられています。
被害者がこのフォルダーを開くと、隠されたスクリプトが連鎖反応を引き起こします。さらに調査したところ、マルウェアは主要ファイルをコンピューター上の非常に特定の場所、すなわちC:\Public\MicrosoftEdgeCache_6.60.2.9313に隠していることが判明しました。
定着すると、2つの異なるモジュールを同時に実行します。
- バンキングモジュール:これは静かに潜み、あなたが銀行にログインするタイミングを監視します。
- WhatsApp拡散機能:これはPythonで書かれた新しいコード(
zapbiu.pyというファイル)で、連絡先リストを盗み、知り合い全員にウイルスのコピーを送り始めます。
丁寧なメッセージと進捗の追跡
注目すべき点として、ハッカーはメッセージに驚くほど人間味のある工夫を加えています。ソフトウェアは実際にコンピューターの時刻を確認し、ポルトガル語で適切な挨拶を送るのです。送信する時間帯に応じて、「Bom dia」(おはよう)、「Boa tarde」(こんにちは)、「Boa noite」(こんばんは)で始まります。
メッセージは通常、「依頼されていたファイルです。ご不明点があれば対応します!」といった内容です。これにより、実際の会話の続きのように見せかけます。研究者によれば、このマルウェアは自身の成功率まで追跡しており、50件ごとに進捗レポートを出力して、どれだけ多くの人に到達できたかを確認します。
一貫した進化
AstarothはDelphiベースのウイルスで、長年にわたりセキュリティ専門家を悩ませてきました。参考までに、Hackread.comがその手口を報じたのは今回が初めてではありません。2025年2月には、GmailとMicrosoftのログイン情報を盗むために二要素認証を回避できるAstarothの亜種が発見されました。
その後、2025年10月には、画像の中にバックアップファイルを隠すためにGitHubを悪用していることが判明しました。これは、ハッカーが常に新たな隠し場所を探していることを示しており、WhatsAppは単に最新の標的に過ぎません。
とはいえ、最新バージョンは現在ブラジルに焦点を当てているものの、その発見は、攻撃者が目立たない形で潜伏するためのより巧妙な方法を見つけていることを示しています。したがって、居住地に関係なく、この種の脅威や類似の脅威に注意し、詳細はHackread.comをご覧ください。
翻訳元: https://hackread.com/astaroth-banking-trojan-brazil-whatsapp-messages/
