Le cheval de Troie bancaire Astaroth a refait surface avec une stratégie de propagation inédite. Selon un rapport de la société de cybersécurité Acronis, une campagne baptisée » Boto Cor-de-Rosa » cible activement les utilisateurs brésiliens, en exploitant WhatsApp comme principal vecteur d’infection.
Comment fonctionne cette chaîne d’infection ?
L’attaque débute par la réception d’un message WhatsApp contenant une archive ZIP malveillante. Si la victime ouvre ce fichier, elle exécute sans le savoir un script Visual Basic (VBS). Ce dernier est chargé de télécharger les composants suivants de l’attaque.
Une fois activé, le script déploie deux modules distincts. Le premier est la charge utile principale d’Astaroth, écrite en Delphi, qui surveille l’activité de navigation pour dérober des identifiants bancaires.
Le second, un ver informatique entièrement développé en Python, accède à la liste de contacts WhatsApp de la victime et envoie à chacun d’eux le même piège, créant une boucle d’infection continue.
L’ingénierie sociale utilisée à la manœuvre
L’efficacité de la campagne » Boto Cor-de-Rosa » repose sur une ingénierie sociale soignée. Le message envoyé aux contacts est rédigé dans un portugais familier et anodin : » Voici le fichier demandé. Si vous avez des questions, je suis disponible ! «
Pour renforcer l’illusion d’une conversation légitime, les attaquants ont programmé le script pour qu’il adapte son message d’accueil à l’heure locale. Il envoie ainsi automatiquement » Bom dia » (bonjour), » Boa tarde » (bon après-midi) ou » Boa noite » (bonsoir).
Une évolution technique pour Astaroth
Cette attaque illustre une évolution notable. Astaroth combine son noyau historique de vol d’informations bancaires avec des techniques de propagation modernes et virales, en s’appuyant sur une plateforme de communication populaire.
Pour Acronis, » cette campagne souligne l’importance de la vigilance des utilisateurs, en particulier lors de la réception de fichiers non sollicités via des plateformes de messagerie, et met en évidence la nécessité pour les organisations de déployer des défenses à plusieurs niveaux « .