ブラジルで高度なマルウェアキャンペーンが確認され、WhatsAppの普及度を悪用してAstaroth銀行トロイの木馬を拡散しています。この配布ベクターは、同地域における同アプリの文化的・商業的な支配力を踏まえると、極めて強力であることが証明されています。Acronisの研究者は、この攻撃を「Boto Cor-de-Rosa」と命名しました。
感染の流れは、有害なZIPアーカイブを内包したメッセージによって開始されます。展開すると、ユーザーは無害なファイルを装ったVisual Basicスクリプトに遭遇します。実行されると、このスクリプトが後続コンポーネントの取得を指揮し、自己拡散モジュールと主要な悪性ペイロードを含む一連の要素を呼び込みます。
このソフトウェアは二段階構成のアーキテクチャで動作します。Pythonで作成された初期モジュールは被害者のWhatsApp連絡先リストを流出させ、同一の悪性アーカイブを各連絡先へ送信することで、指数関数的な連鎖反応による拡散を促進します。同時に、第二のモジュールがバックグラウンドに常駐してブラウザ活動を監視し、ユーザーが金融ポータルにアクセスした場合にのみ作動して認証情報を奪取し、不正取引を可能にします。
さらに、このマルウェアは拡散の有効性を監査するための高度なテレメトリ機構を組み込んでいます。送信に成功したメッセージ数、失敗回数、拡散全体の速度など、リアルタイムの指標を集計します。
Acronisによれば、この活動は2025年9月下旬以降に観測されています。ブラジルが攻撃の震源地であり、特定された感染の95%以上を占め、米国とオーストリアでは散発的な事例が確認されています。これらの侵入は、PowerShellやPythonスクリプト、MSIインストールファイルといった多段階の感染ベクターを用いる、従来のAstaroth配布サイクルの進化形を示しています。
同様の手法は、Water SaciおよびPINEAPPLEとして監視されている脅威集団によって過去にも用いられており、類似のメッセージングプラットフォームを介してMaverickおよびCasbaneiroマルウェアを拡散していました。多言語コンポーネントの段階的な統合と、普及している通信チャネルへの戦略的な適応は、これらの攻撃者の技術的洗練が増していること、そして日常的なデジタル習慣を悪用して大規模な侵害を狙うことに注力している点を浮き彫りにしています。
翻訳元: https://meterpreter.org/the-whatsapp-worm-boto-cor-de-rosa-campaign-weaponizes-social-trust/
