Astaroth-Trojaner nutzt WhatsApp als Wurm-Verteiler

Eine neue Angriffswelle des Banking-Trojaners Astaroth verbreitet sich wurmartig über WhatsApp Web. Die als „Boto Cor-de-Rosa“ bekannte Kampagne stiehlt Bankdaten und missbraucht dafür das Vertrauen zwischen Kontakten. Sicherheitsexperten warnen vor der Verlagerung von Phishing-E-Mails hin zu Messenger-Diensten.

So läuft der perfide WhatsApp-Angriff ab

Der Angriff beginnt mit einer Nachricht von einem bekannten Kontakt. Sie enthält eine ZIP-Datei mit einem harmlosen Namen. Darin versteckt: ein getarntes Visual Basic Script (VBS). Wird es ausgeführt, lädt es im Hintergrund die Schadsoftware nach.

Diese besteht aus zwei Teilen:
* Dem Astaroth-Banking-Trojaner, der in Delphi programmiert ist.
* Einem neuen Python-Modul, das speziell für die Verbreitung über WhatsApp Web entwickelt wurde.

Die Methode umgeht gezielt E-Mail-Filter, indem sie den als sicher geltenden Kanal der persönlichen Kommunikation kapert.

Ist die Malware aktiv, entfaltet sie ihre zweifache Wirkung. Der Banking-Trojaner überwacht die Internetaktivitäten. Ruft das Opfer eine Bank-Website auf, zeichnet er Tastatureingaben auf und stiehlt so Login-Daten.

Phishing über Messenger wie WhatsApp ist keine Kleinigkeit – Angreifer nutzen vertraute Kontakte und getarnte Dateien, um an Bankdaten zu kommen. Wer sich effektiv schützen will, braucht eine klare, praxisnahe Anleitung: Das kostenlose Anti‑Phishing‑Paket erklärt in vier konkreten Schritten, wie Sie Social‑Engineering erkennen, verdächtige Anhänge sicher prüfen und technische Gegenmaßnahmen einrichten. Geeignet für Privatnutzer und kleine IT‑Teams. Jetzt Anti‑Phishing‑Paket herunterladen

Gleichzeitig startet das Wurm-Modul: Es greift auf die Kontaktliste in WhatsApp Web zu und verschickt die bösartige Datei automatisch an alle gespeicherten Kontakte. So entsteht eine sich selbst erhaltende Infektionsschleife – ohne Zutun der Angreifer.

Raffiniertes Social Engineering trickst Nutzer aus

Der Erfolg der Kampagne basiert auf ausgeklügeltem Social Engineering. Die automatischen Nachrichten sind in fließendem Portugiesisch verfasst und wirken vertraut: „Hier ist die angeforderte Datei. Bei Fragen stehe ich zur Verfügung!“

Um noch glaubwürdiger zu wirken, passt die Malware die Begrüßung an die lokale Tageszeit an („Guten Morgen“ / „Guten Tag“). Da die Nachricht scheinbar von einem Freund kommt, fällt die wichtigste menschliche Firewall: das Misstrauen.

Astaroth: Eine sich ständig wandelnde Bedrohung

Der Trojaner Astaroth (auch Guildma) ist seit 2015 bekannt und vor allem in Lateinamerika aktiv. Die Malware ist für ihre Anpassungsfähigkeit berüchtigt. Frühere Versionen missbrauchten bereits legitime Windows-Prozesse oder nutzten GitHub für Konfigurationsdaten.

Die aktuelle Verlagerung auf WhatsApp markiert jedoch eine strategische Eskalation. Angreifer nutzen zunehmend das geschlossene, vertrauensbasierte Ökosystem von Messengern für ihre Attacken.

Wie können sich Nutzer schützen?

Die Kampagne zielt derzeit auf Brasilien ab, doch die Technik ist leicht auf andere Sprachen und Regionen übertragbar. Experten raten zu folgenden Schutzmaßnahmen:

• Dateien niemals unüberlegt öffnen: Seien Sie skeptisch bei unerwarteten Dateianhängen – auch von Bekannten. Im Zweifel den Absender über einen zweiten Kanal (z.B. Anruf) kontaktieren.
• Software aktuell halten: Halten Sie Ihr Betriebssystem, Sicherheitssoftware und Messenger-Apps stets auf dem neuesten Stand.
• Erweiterte Sicherheitslösungen nutzen: Herkömmliche Virenscanner erkennt Astaroth oft nicht. Verhaltensbasierte Schutzprogramme sind hier effektiver.

PS: Sie nutzen WhatsApp – wissen Sie, welche Maßnahmen Infektionsketten tatsächlich stoppen? Das kostenlose Anti‑Phishing‑Paket liefert eine leicht verständliche 4‑Schritte‑Anleitung: Erkennung manipulierten Anhangs, sichere Prüfschritte, technische Einstellungen gegen automatische Weiterleitung und Verhaltenstipps im Verdachtsfall. Ideal als Schnell-Check für Privatpersonen und kleine Firmen, die nicht Opfer von Banking‑Trojanern werden wollen. Kostenlosen Anti‑Phishing‑Guide sichern