Maverick: um novo trojan bancário abusando do WhatsApp em distribuição em massa

Uma campanha de malware foi recentemente detectada no Brasil, distribuindo um arquivo LNK malicioso via WhatsApp. Ela tem como alvo principalmente brasileiros e utiliza URLs com nomes em português. Para evitar detecção, o servidor de comando e controle (C2) verifica cada download para garantir que ele se originou do próprio malware. Toda a cadeia de infecção é complexa e totalmente sem arquivos (fileless) e, ao final, entrega um novo trojan bancário chamado Maverick, que apresenta várias sobreposições de código com o Coyote. Neste post do blog, detalhamos toda a cadeia de infecção, o algoritmo de criptografia e seus alvos, além de discutirmos as semelhanças com ameaças conhecidas.

Principais descobertas:

• Uma campanha massiva disseminada pelo WhatsApp distribuiu o novo trojan bancário brasileiro chamado “Maverick” através de arquivos ZIP contendo um arquivo LNK malicioso, que não é bloqueado na plataforma de mensagens.
  
  

• Uma vez instalado, o trojan utiliza o projeto open-source WPPConnect para automatizar o envio de mensagens em contas sequestradas via WhatsApp Web, aproveitando o acesso para enviar a mensagem maliciosa aos contatos da vítima.
  
  

• O novo trojan apresenta semelhanças de código com outro trojan bancário brasileiro chamado Coyote; no entanto, consideramos o Maverick como uma ameaça nova.
  
  

• O trojan Maverick verifica o fuso horário, idioma, região e o formato de data e hora nas máquinas infectadas para garantir que a vítima esteja no Brasil; caso contrário, o malware não será instalado.
  
  

• O trojan bancário pode controlar completamente o computador infectado: tirar screenshots, monitorar navegadores e sites abertos, instalar um keylogger, controlar o mouse, bloquear a tela ao acessar um site bancário, encerrar processos e abrir páginas de phishing em sobreposição. Seu objetivo é capturar credenciais bancárias.
  
  

• Uma vez ativo, o novo trojan irá monitorar o acesso das vítimas a 26 sites de bancos brasileiros, 6 sites de exchanges de criptomoedas e 1 plataforma de pagamento.
  
  

• Todas as infecções são modulares e realizadas em memória, com atividade mínima em disco, usando PowerShell, .NET e shellcode criptografado com Donut.
  
  

• O novo trojan utilizou IA no processo de escrita de código, especialmente na parte de decriptação de certificados e no desenvolvimento geral do código.
  
  

Vetor inicial de infecção
A cadeia de infecção funciona conforme o diagrama abaixo: (nota: diagrama não incluído aqui)
A infecção começa quando a vítima recebe um arquivo .LNK malicioso dentro de um arquivo ZIP via mensagem do WhatsApp. O nome do arquivo pode ser genérico ou pode fingir ser de um banco:
A mensagem dizia: “Visualização permitida somente em computadores. Caso esteja usando o navegador Chrome, escolha ‘manter arquivo’ porque é um arquivo zipado”.
O LNK está codificado para executar o cmd.exe com os seguintes argumentos: (comandos não reproduzidos aqui)
Os comandos decodificados apontam para a execução de um script PowerShell: (script não reproduzido aqui)
O comando irá contatar o C2 para baixar outro script PowerShell. É importante notar que o C2 também valida o “User-Agent” da requisição HTTP para garantir que ela está vindo do comando PowerShell.

Fonte: securelist.com