Astaroth ist ein neuer Verbreitungsweg für Schadsoftware, der WhatsApp für gezielte Angriffe nutzt. 

Laut Forschern läuft in Brasilien eine neue Kampagne gegen den Messenger-Dienst, bei der über einen Windows-Banking-Trojaner Schadsoftware an die Nutzer verteilt wird.

Die Kampagne wurde von der Acronis Threat Research Unit „Boto Cor-de-Rosa“ getauft. 

Die Malware greift auf die WhatsApp-Kontaktliste des Opfers zu und versendet schädliche Nachrichten, um die Infektion zu verbreiten.

Astaroth, auch bekannt als Guildma, ist eine Banking-Malware, die seit 2015 aktiv ist und vorwiegend Nutzer in Lateinamerika, insbesondere in Brasilien, ins Visier nimmt, um Datendiebstahl zu ermöglichen.
Im Jahr 2024 wurden zwei verschiedene Bedrohungscluster beobachtet, PINEAPPLE und Water Makara, die Phishing-E-Mails zur Verbreitung von Schadsoftware einsetzten.

Die Nutzung von WhatsApp als Verbreitungskanal für Banking-Trojaner ist eine neue Taktik, die bei Angreifern, die brasilianische Nutzer ins Visier nehmen, aufgrund der weiten Verbreitung der Messaging-Plattform in Brasilien an Bedeutung gewonnen hat.

Sophos berichtete in einem im November 2025 veröffentlichten Bericht über eine mehrstufige Malware-Kampagne mit dem Codenamen STAC3150, die WhatsApp-Nutzer in Brasilien mit Astaroth ins Visier nahm.

Über 95 % der betroffenen Geräte befanden sich in Brasilien, die übrigen Infektionen verteilten sich auf die USA und Österreich.

Die Malware verbreitet ZIP-Dateien, die ein Download-Skript enthalten. Dieses Skript lädt ein PowerShell- oder Python-Skript herunter, um Daten von WhatsApp-Nutzern zu sammeln und sich so zu verbreiten. Zusätzlich ist ein MSI-Installer enthalten, der den Trojaner installiert. 

Die jüngsten Erkenntnisse von Acronis bestätigen diesen Trend: Über WhatsApp-Nachrichten verbreitete ZIP-Dateien dienen als Ausgangspunkt für die Malware-Infektion. 

Ein Python-basiertes Verbreitungsmodul sammelt die WhatsApp-Kontakte des Opfers und leitet automatisch eine schädliche ZIP-Datei an jeden Kontakt weiter. Dadurch verbreitet sich die Malware wurmartig. 

Ein Banking-Modul läuft im Hintergrund und überwacht kontinuierlich die Webaktivitäten des Opfers. 

Der Angriff wird aktiv, sobald das Opfer Webseiten besucht, die mit Bankdienstleistungen in Verbindung stehen, um Zugangsdaten zu stehlen und Einnahmen zu generieren.
Dieser neue Angriff verdeutlicht die Raffinesse von Cyberkriminellen und unterstreicht den dringenden Bedarf an spezialisierten Cybersicherheitsexperten.