Foto von Die Cybersicherheitsfirmen CyberProof, Trend Micro, Sophos und Kaspersky gehen davon aus, dass Maverick WhatsApp-Webnutzer angreift, indem es Visual Basic Script und PowerShell mit Browserautomatisierung kombiniert, um Konten zu kapern und bösartige ZIP-Archive an Kontakte zu senden.
Das SOC-Team von CyberProof untersuchte einen dent bei dem eine verdächtige Datei über die Weboberfläche von WhatsApp heruntergeladen wurde. Es handelte sich um ein ZIP-Archiv mit dem Namen NEW-20251001_152441-PED_561BCF01.zip.
Sie ermittelten die Hashwerte SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e und SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Wenn Opfer eine Verknüpfung (LNK) innerhalb des Archivs ausführen, wird der Code deobfuskiert, um entweder cmd oder PowerShell zu erstellen und auszuführen. Die Befehle kontaktieren dann einen Angreifer-Server, um die Payload der ersten Stufe abzurufen.
Laut einem Blogbeitrag des CyberProof-Forschungsteams vom vergangenen Montag verwendet der Loader Split-Tokens in Kombination mit Base64- und UTF-16LE-kodiertem PowerShell-Code. Er prüft auf Reverse-Engineering-Tools und beendet sich selbst, sobald Analysten anwesend sind. Andernfalls lädt er den Wurm SORVEPOTEL und den Banking-Trojaner Maverick herunter.
Trend Micro dokumentierte Maverick, den Banking-Trojaner, der Webaktivitäten überwacht, erstmals Anfang letzten Monats und brachte ihn mit einem Akteur namens Water Saci in Verbindung. SORVEPOTEL ist eine sich selbst verbreitende Malware, die sich über WhatsApp Web , indem sie ein ZIP-Archiv mit Schadcode übermittelt.
Maverick durchsucht aktive Browser-Tabs nach URLs, die mit einer fest codierten Liste lateinamerikanischer Finanzinstitute aus Brasilien übereinstimmen. Bei einer Übereinstimmung ruft der Trojaner Folgebefehle von einem entfernten Server ab und fordert Systemdaten an, um Phishing-Seiten zu versenden, diedentabgreifen sollen.
Das Sicherheitsteam des Antivirensoftware-Unternehmens Kaspersky entdeckte mehrere Codeübereinstimmungen zwischen Maverick und einer älteren Banking-Malware namens Coyote. Der britische Sicherheitssoftware-Anbieter Sophos hält es für möglich, dass Maverick eine Weiterentwicklung von Coyote ist, Kaspersky hingegen betrachtet Maverick als eigenständige Bedrohung für WhatsApp-Nutzer in Brasilien.
Wie Maverick WhatsApp Web kapert
Die Recherchen von CyberProof ergaben, dass die Kampagne .NET-Binärdateien meidet und stattdessen VBScript und PowerShell nutzt. Das ZIP-Archiv enthält einen verschleierten VBScript-Downloader namens Orcamento.vbs, den die Forscher mit SORVEPOTEL in Verbindung bringen.
Das VBScript führt einen PowerShell-Befehl aus, der tadeu.ps1 direkt im Speicher startet, während die PowerShell-Payload Chrome über ChromeDriver und Selenium automatisiert. Sie übernimmt die Kontrolle über die WhatsApp-Web-Sitzung des Opfers und verteilt die schädliche ZIP-Datei an alle Kontakte.
Die Schadsoftware beendet alle laufenden Chrome-Prozesse und kopiert das legitime Chrome-Profil in einen temporären Arbeitsbereich, bevor sie Nachrichten versendet.
„Diese Daten umfassen Cookies, Authentifizierungstoken und die gespeicherte Browsersitzung und ermöglichen es der Malware, die Authentifizierung von WhatsApp Web zu umgehen, um einem Hacker sofortigen Zugriff auf das WhatsApp-Konto des Opfers ohne Sicherheitswarnungen oder QR-Code-Scanning zu verschaffen“, vermutete das amerikanisch-japanische Cybersicherheitssoftwareunternehmen Trend Micro.
Nachdem das Skript die Kontrolle über die Webanwendung übernommen hat, zeigt es ein irreführendes Banner mit der Bezeichnung „WhatsApp Automation v6.0“ an, um seine laufenden Aktivitäten zu verschleiern. Der PowerShell-Code ruft Nachrichtenvorlagen von einem Command-and-Control-Server (C2) ab und exfiltriert die Kontaktliste des Opfers.
Die Weiterleitungsschleife durchläuft jeden erfassten Kontakt, bevor jede Nachricht gesendet wird und nachdem geprüft wurde, ob die C2-Station einen Pausenbefehl erteilt hat. Die Nachrichten werden personalisiert, indem Variablen durch zeitbasierte Begrüßungen und Kontaktnamen ersetzt werden.
Trend Micro weist darauf hin, dass die Kampagne ein hochentwickeltes Remote-C2-System nutzt, das Echtzeitmanagement unterstützt. Die Bediener können die Ausbreitung pausieren, fortsetzen und überwachen, um koordinierte Operationen auf infizierten Rechnern durchzuführen.
Die Maverick-Malware wird erst nach Bestätigung des Client-Standorts in Brasilien eingesetzt
Cyberproof und Trend Micro bestätigten, dass Maverick erst installiert wird, nachdem durch Überprüfung von Zeitzone, Sprache, Systemregion sowie Datums- und Zeitformat festgestellt wurde, dass sich der Host in Brasilien befindet. Trend Micro stellte außerdem fest, dass die Installationskette die Ausführung auf portugiesischsprachige Systeme beschränkt.
Laut einem Bericht von Trend Micro umfasst die C2-Infrastruktur E-Mail-basierte Kanäle, was ihre Redundanz erhöht und gleichzeitig die Erkennung erschwert. CyberProof fand zudem Hinweise darauf, dass die Malware gezielt Hotels in Brasilien ins Visier nahm. Die Sicherheitsfirmen befürchteten, dass der Angreifer seine Ziele auf die Hotelbranche ausweiten könnte, die häufig von hochkarätigen Zielen frequentiert wird.
Die VirusTotal-Suche half dem Team, relevante Proben zu sammeln und seine Ergebnisse mit öffentlich zugänglichen Forschungsergebnissen von Kaspersky, Sophos und Trend Micro zu verknüpfen. Die Analyse desdent durch das Sicherheitsunternehmen CyberProof ergab jedoch, dass die vollständige Infektionskette nicht nachvollzogen werden konnte, da die vom Command-and-Control-Server (C2) gesendeten Dateien während der Untersuchung nicht zugestellt werden konnten.
