WhatsApp Worm Spreads Astaroth Banking Trojan Across Brazil via Contact Auto-Messaging

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญใหม่ที่ใช้ WhatsApp เป็นช่องทางในการแพร่กระจายโทรจัน Astaroth Banking Trojan บนระบบปฏิบัติการ Windows โดยพุ่งเป้าไปที่ผู้ใช้ในบราซิล แคมเปญนี้ถูกเรียกว่า “Boto Cor-de-Rosa” โดย Acronis Threat Research Unit มัลแวร์นี้มีความสามารถในการขโมยรายชื่อติดต่อใน WhatsApp ของเหยื่อและส่งข้อความอันตรายไปยังแต่ละรายชื่อโดยอัตโนมัติ ทำให้เกิดการแพร่กระจายแบบหนอน (worm-like) ตัวมัลแวร์หลักของ Astaroth ยังคงเขียนด้วย Delphi และตัวติดตั้งใช้ Visual Basic script ในขณะที่โมดูลหนอน WhatsApp ที่เพิ่มเข้ามาใหม่ถูกพัฒนาด้วย Python ซึ่งเน้นย้ำถึงการใช้ส่วนประกอบแบบโมดูลาร์ที่รองรับหลายภาษาของผู้คุกคาม Astaroth เป็นมัลแวร์ Banking Trojan ที่รู้จักกันในชื่อ Guildma ซึ่งตรวจพบตั้งแต่ปี 2015 โดยมักพุ่งเป้าไปที่ผู้ใช้ในละตินอเมริกา (โดยเฉพาะบราซิล) เพื่อขโมยข้อมูล แคมเปญนี้ยังมีการติดตามและรายงานสถิติการแพร่กระจายแบบเรียลไทม์อีกด้วย

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows
• แพลตฟอร์มการส่งข้อความ WhatsApp
• ผู้ใช้ในบราซิล
• ผู้ใช้ในสหรัฐอเมริกา (ในระดับที่น้อยลง)
• ผู้ใช้ในออสเตรีย (ในระดับที่น้อยลง)

Technical Attack Steps:

1. ผู้โจมตีส่งไฟล์ ZIP ที่เป็นอันตรายผ่านข้อความ WhatsApp
2. เหยื่อได้รับและแตกไฟล์ ZIP
3. เหยื่อเปิดไฟล์ Visual Basic Script (VBScript) ที่ปลอมตัวเป็นไฟล์ปกติ
4. VBScript ทำการดาวน์โหลดส่วนประกอบในขั้นตอนถัดไป
5. โมดูลการแพร่กระจายที่เขียนด้วย Python จะถูกติดตั้ง
6. โมดูลนี้จะเข้าถึงรายชื่อติดต่อใน WhatsApp ของเหยื่อ
7. มันจะส่งไฟล์ ZIP ที่เป็นอันตรายไปยังรายชื่อติดต่อทั้งหมดโดยอัตโนมัติ ทำให้เกิดการแพร่กระจายแบบหนอน (worm-like)
8. โมดูล Banking จะทำงานในเบื้องหลัง
9. โมดูล Banking จะตรวจสอบกิจกรรมการท่องเว็บของเหยื่อสำหรับ URL ที่เกี่ยวข้องกับธนาคาร
10. เมื่อเหยื่อเข้าชม URL ของธนาคาร โมดูลจะขโมยข้อมูลประจำตัวเพื่อผลประโยชน์ทางการเงิน
11. มัลแวร์จะติดตามและรายงานข้อมูลสถิติการแพร่กระจาย

Recommendations:

Short Term:

• ระมัดระวังเป็นพิเศษกับไฟล์ ZIP ที่ไม่พึงประสงค์ที่ได้รับจาก WhatsApp แม้จะมาจากผู้ติดต่อที่รู้จัก
• ตรวจสอบความถูกต้องของข้อความก่อนเปิดไฟล์แนบ หรือดาวน์โหลดและเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
• อัปเดตโปรแกรมป้องกันไวรัสและซอฟต์แวร์ป้องกันปลายทาง (Endpoint Protection) ให้เป็นปัจจุบัน
• ให้ความรู้ผู้ใช้เกี่ยวกับกลยุทธ์ฟิชชิง (Phishing) และวิศวกรรมสังคม (Social Engineering)

Long Term:

• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับบัญชีธนาคารและบัญชีสำคัญอื่นๆ
• สำรองข้อมูลสำคัญเป็นประจำและเก็บไว้ในที่ปลอดภัย
• รักษาความปลอดภัยของระบบปฏิบัติการและแอปพลิเคชันด้วยการอัปเดตความปลอดภัยล่าสุดอยู่เสมอ
• ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงและอัปเดตอย่างสม่ำเสมอ
• พิจารณาใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อการตรวจจับและตอบสนองภัยคุกคามที่ล้ำหน้ายิ่งขึ้น
• นำ Application Whitelisting มาใช้เพื่ออนุญาตเฉพาะแอปพลิเคชันที่เชื่อถือได้ให้ทำงานบนระบบ

Source: https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html