Astaroth-Trojan nutzt WhatsApp für rasante Verbreitung

Ein gefährlicher Banking-Trojan verbreitet sich jetzt wie ein Wurm über WhatsApp-Kontakte. Die als „Boto-Cor-de-Rosa“ (Rosa Delfin) identifizierte Kampagne markiert eine neue Stufe der Cyberkriminalität, die gezielt das Vertrauen in soziale Netzwerke ausnutzt.

WhatsApp Web als Einfallstor für Schadsoftware

Der seit Jahren aktive Astaroth-Trojan hat eine neue, aggressive Verbreitungsmethode entwickelt. Statt wie bisher über E-Mail-Anhänge infiziert die aktuelle Variante Computer und nutzt dann die dort aktive WhatsApp Web-Sitzung, um sich automatisch an alle Kontakte weiterzuversenden. Die Angriffe konzentrieren sich derzeit auf Brasilien, wo WhatsApp für Millionen Nutzer das zentrale Kommunikationsmittel ist.

Die Gefahr liegt in der Tarnung: Empfänger erhalten eine ZIP-Datei von einem bekannten Kontakt, oft begleitet von einer höflichen Nachricht wie „Hier ist die angeforderte Datei“. Öffnet das Opfer den Anhang, wird ein verschleierter Skriptcode ausgeführt, der die eigentliche Schadsoftware nachlädt.

Cyber-Angriffe wie der neue WhatsApp‑Wurm zeigen, wie schnell Inszenierungen per Messenger Unternehmen und Privatpersonen in ernste Gefahr bringen. Ein aktueller, kostenloser Leitfaden erklärt die wichtigsten Schutzmaßnahmen für Firmen und Endgeräte – von Endpoint‑Strategien bis zu psychologischen Verteidigungsprinzipien gegen Social‑Engineering. So erkennen Sie schädliche Anhänge, härten Ihre Systeme und reduzieren das Risiko kostenintensiver Datenverluste. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Zwei Module, eine gefährliche Mission

Die Malware arbeitet mit zwei klar getrennten Komponenten, die sie besonders widerstandsfähig machen:

• Das Banking‑Modul, geschrieben in Delphi, agiert im Hintergrund. Es überwacht den Browserverlauf und schlägt zu, sobald der Nutzer eine Bank‑Website besucht. Dann stiehlt es Login‑Daten.
• Das Verbreitungs‑Modul ist die neue, gefährliche Innovation. Geschrieben in Python, verwandelt es den Trojaner in einen Wurm. Es kapert die WhatsApp Web‑Sitzung, extrahiert die Kontaktliste und versendet die Schadsoftware weiter – vollautomatisch.

Besonders perfide: Die Software passt ihre Begrüßung an die Tageszeit an („Bom dia“, „Boa tarde“) und protokolliert sogar, wie viele Nachrichten erfolgreich versendet wurden. Diese Imitation menschlichen Verhaltens erhöht die Erfolgschance enorm.

Warum dieser Angriff auch Europa betrifft

Die aktuelle Kampagne mag auf Brasilien fokussiert sein, doch das Prinzip ist übertragbar. Die modulare Bauweise des Python‑Codes bedeutet, dass die Angreifer die Verbreitungsmethode leicht an andere Messenger wie Telegram oder Signal anpassen können.

Experten warnen vor einer möglichen exponentiellen Verbreitung, die klassische Abwehrmaßnahmen überrollen könnte. Während E‑Mail‑Filter gut etabliert sind, unterliegen verschlüsselte Messenger‑Nachrichten oft nicht der gleichen automatischen Überprüfung. Der Angriff umgeht so herkömmliche Sicherheitsbarrieren.

So können sich Nutzer schützen

Für Unternehmen ist die Empfehlung klar: Endpoint Protection Systeme müssen auf die neuen VBS‑ und Python‑Signaturen aktualisiert werden. Für Privatnutzer gilt die alte, aber jetzt noch dringlichere Regel: Vorsicht bei unerwarteten Dateianhängen, selbst von bekannten Absendern.

Im Zweifelsfall neutralisiert ein einfacher Trick die Social‑Engineering‑Falle: Die vermeintliche Absenderin oder den Absender über einen zweiten Kanal – etwa einen Anruf – zu kontaktieren und nach der Datei zu fragen. Die aktuelle Kampagne zeigt eindrücklich, dass in einer vernetzten Welt Vertrauen selbst zur Schwachstelle geworden ist, die Angreifer gezielt ausnutzen.

PS: Wenn Sie schnell einen Überblick brauchen, welche technischen und organisatorischen Schritte jetzt Priorität haben, hilft der kompakte Cyber‑Security‑Leitfaden mit konkreten Checklisten für kleine und mittlere Unternehmen. Er zeigt praxisnah, wie Sie Mitarbeiter sensibilisieren, Phishing‑Angriffe reduzieren und Ihre IT‑Abwehr ohne große Budgets stärken. Gratis Cyber‑Security‑Guide sichern