文章总结： Astaroth银行木马变种利用WhatsApp进行蠕虫式传播，创新采用Delphi、VBS与Python多语言混搭架构。Python模块负责抓取联系人发送恶意文件并内置数据埋点，Delphi模块窃取银行信息。该攻击展示了多语言组件化开发趋势，建议防御方警惕IM软件安全边界及脚本语言滥用，加强安全意识。 综合评分： 84 文章分类： 恶意软件,威胁情报,社会工程学

硬核拆解：为了盗取银行卡号，黑客竟然在 WhatsApp 里塞了个 Python 解释器？

原创

Kit Chung

安全圈动向

2026年1月13日 07:59 广东

大家好，如果你的 WhatsApp 或者微信突然收到一个几十年的老友发来的压缩包，没说什么话，或者只是随手转的一条消息，你会点开吗？

我想 99% 的人会点。毕竟，那是熟人啊。

但今天我要聊的这个技术案例，正是利用了这种“熟人信任”。最近，安全圈炸锅了，老牌银行木马 Astaroth（又名 Guildma）突然“枯木逢春”，搞了一波骚操作。它不再死磕传统的钓鱼邮件，而是把魔爪伸向了即时通讯软件 WhatsApp，并且在技术架构上玩起了“多语言混搭”。

Acronis 的兄弟们给这波攻击起代号叫 “Boto Cor-de-Rosa”（葡萄牙语：粉红海豚）。名字听着挺萌，但手段是真狠。今天咱们就抛开热闹，从代码和架构层面，扒一扒它是怎么实现的。

01 攻击向量迁移：从邮件到 IM 的降维打击

咱们做过攻防的都知道，现在的邮件网关越来越聪明，钓鱼邮件的送达率（Delivery Rate）其实是在逐年下降的。黑客也焦虑啊，KPI 完不成怎么办？

于是，他们盯上了 WhatsApp。

这就好比在国内，黑客不再发垃圾邮件，而是直接用你的微信号给你的通讯录群发文件。这招最狠的地方在于绕过了传统的边界防御。

这次的 Astaroth 变种，利用 WhatsApp 这种高频、高信任度的渠道进行蠕虫式（Worm-like）传播。一旦一台设备沦陷，它就会自动遍历受害者的联系人列表，把恶意的 ZIP 包发给所有人。

这不仅仅是“传播”，这是社交裂变。

02 技术栈大揭秘：Delphi + VB + Python

这是我觉得最值得大家玩味的地方。通常我们分析的木马，要么是纯 C/C++ 追求极致的底层控制，要么是 Go/Rust 追求免杀和跨平台。

但 Astaroth 走了一条“野路子”，展现了极强的模块化思维。根据 Acronis 和 Sophos 的逆向分析，这货简直是个“组合体”：

• 核心 Payload（Astaroth 本体）：

  依然沿用了老旧的 Delphi 编写。这大概是因为作者有多年的代码资产积累，舍不得重写。

• 安装器（Installer）：

  使用 Visual Basic Script (VBS)。这是为了在 Windows 环境下混淆视听，利用系统原生组件“白利用”（LoLBins）。

• 蠕虫传播模块（新特性）：

  重点来了！这部分完全是用 Python 写的。

“Wait, Python?” 你可能会问，为了一个模块，塞进一个 Python 环境值得吗？

答案是：太值了。

Python 拥有强大的网络库和字符串处理能力，用来写爬虫（抓取 WhatsApp Web 端或本地数据库的联系人）和自动化脚本（自动转发）简直是降维打击。这也标志着黑客组织正在转向多语言模块化组件（Multi-language Modular Components）的开发模式——哪种语言干活快，就用哪种。

03 感染链硬核拆解：它是如何接管系统的？

咱们来人肉 Debug 一下这个感染过程，你会发现它的逻辑非常清晰：

第一阶段：诱导执行

受害者在 WhatsApp 收到一个 ZIP 包。解压后，里面躺着一个伪装成良性文件的 VBS 脚本。这其实是整个攻击的 Loader。

第二阶段：环境准备与下载

VBS 脚本运行后，会从 C2 服务器拉取后续组件。这里它做了一个 MSI 安装器的部署，把木马本体种进去。

第三阶段：双核驱动（核心技术点）

此时，恶意软件会启动两个并行的模块，分工极其明确：

模块一：银行大盗 (Banking Module)技术栈：Delphi 功能：Hook 浏览器进程。在后台静默运行，监控你的 Web 流量。一旦发现你访问了特定的银行 URL（主要针对巴西的金融机构），它立刻激活，记录键盘输入、截取屏幕，甚至直接窃取 Session Token。

模块二：Python 传播者 (Propagation Module)技术栈：Python 功能：这是本次升级的“杀手锏”。这个 Python 脚本不仅负责干脏活（抓联系人、发文件），还自带了数据埋点功能！

报告中提到一个非常有意思的细节：

“The code periodically logs statistics such as the number of messages successfully delivered, the number of failed attempts, and the sending rate…”

看到没？黑客都在做全链路监控！ 它可以实时向 C2 汇报：我这一分钟发了多少条消息，多少成功了，多少失败了。这简直就是一套完整的 APM（应用性能监控） 系统。利用这些数据，黑客可以实时优化他们的“产品体验”。

04 为什么是巴西？为什么是我们？

这波攻击目前主要集中在巴西（95% 的受感染设备都在那）。原因很简单，巴西的 WhatsApp 普及率极高，且即时支付系统（PIX）非常发达，简直是银行木马的天然猎场。

但各位搞 IT 的兄弟别觉得这事离咱们很远。

技术是没有国界的。这种 “IM 蠕虫 + 混合编程 + 自动化运维” 的攻击模式，其实是一次非常成功的 POC（概念验证）。既然在 WhatsApp 上能跑通，移植到其他即时通讯软件上，技术门槛并不高。

最后

作为技术人员，通过这个案例我们能学到什么？

1. 防御边界在模糊：

   别只盯着防火墙和邮件网关了，IM 软件和移动端正在成为内网穿透的那个“蚁穴”。

2. 关注脚本语言的滥用：

   也就是所谓的 LoLBins。看到系统里莫名其妙跑起了 Python 进程或者 VBS 脚本，特别是带有网络行为的，一定要多留个心眼。

3. 安全意识教育：

   还是那句老话，文件后缀名要看清。不管谁发的 ZIP，先丢进沙箱跑一圈再说。

这年头，连黑客都开始搞“全栈开发”和“敏捷迭代”了，咱们防御侧要是再不卷起来，饭碗可真要保不住了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung《硬核拆解：为了盗取银行卡号，黑客竟然在 WhatsApp 里塞了个 Python 解释器？》