Foto de Las empresas de ciberseguridad CyberProof, Trend Micro, Sophos y Kaspersky creen que Maverick ataca a los usuarios web de WhatsApp combinando Visual Basic Script y PowerShell con la automatización del navegador para secuestrar cuentas y enviar archivos ZIP maliciosos a los contactos.
El equipo SOC de CyberProof investigó un dent en el que se descargó un archivo sospechoso a través de la interfaz web de WhatsApp. El archivo era un archivo ZIP llamado NEW-20251001_152441-PED_561BCF01.zip.
Se recuperaron los hashes SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e y SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Cuando las víctimas ejecutan un acceso directo (LNK) dentro del archivo, este desofusca el código para compilar y ejecutar cmd o PowerShell, y los comandos contactan con el servidor del atacante para obtener la carga útil de la primera etapa.
Según una entrada de blog publicada el lunes pasado por el equipo de investigación de CyberProof, el cargador ha dividido tokens combinados con PowerShell codificado en Base64 y UTF-16LE. Busca herramientas de ingeniería inversa y, si hay analistas presentes, el cargador se autodetiene. De lo contrario, descarga un gusano llamado SORVEPOTEL y un troyano bancario llamado Maverick.
Trend Micro documentó por primera vez Maverick, el troyano bancario que monitorea la actividad web, a principios del mes pasado y lo vinculó con un actor al que llama Water Saci. SORVEPOTEL es un malware autopropagable que se propaga a través de WhatsApp Web mediante la entrega del archivo ZIP que contiene el código malicioso.
Maverick escanea las pestañas activas del navegador en busca de URL que coincidan con una lista predefinida de instituciones financieras latinoamericanas de Brasil. Si encuentra una coincidencia, el troyano obtiene comandos de seguimiento de un servidor remoto y solicita datos del sistema para enviar páginas de phishing destinadas a robardent.
El equipo de seguridad de Kaspersky, la empresa de software antivirus, detectó varias superposiciones de código entre Maverick y un antiguo malware bancario llamado Coyote. La empresa británica de software de seguridad Sophos indicó que existe la posibilidad de que Maverick sea una evolución de Coyote, pero Kaspersky considera a Maverick una amenaza específica para los usuarios de WhatsApp web en Brasil.
Cómo Maverick secuestra WhatsApp Web
La investigación de CyberProof indicó que la campaña evita los binarios .NET y prioriza VBScript y PowerShell. El archivo ZIP contiene un descargador de VBScript ofuscado llamado Orcamento.vbs, que los investigadores vinculan con SORVEPOTEL.
El VBScript ejecuta un comando de PowerShell que ejecuta tadeu.ps1 directamente en memoria, mientras que la carga útil de PowerShell automatiza Chrome mediante ChromeDriver y Selenium. Toma el control de la de WhatsApp Web de la víctima y distribuye el archivo ZIP malicioso a todos sus contactos.
El malware finaliza cualquier proceso de Chrome en ejecución y copia el perfil legítimo de Chrome en un espacio de trabajo temporal antes de enviar cualquier mensaje.
“Estos datos incluyen cookies, tokens de autenticación y la sesión guardada del navegador, y permiten que el malware evite la autenticación de WhatsApp Web para brindarle a un pirata informático acceso inmediato a la cuenta de WhatsApp de la víctima sin ninguna alerta de seguridad o escaneo de código QR”, conjeturó la empresa estadounidense-japonesa de software de ciberseguridad Trend Micro.
Tras tomar el control de la aplicación web, el script muestra un banner engañoso con la etiqueta "WhatsApp Automation v6.0" para ocultar su actividad operativa. El código de PowerShell recupera plantillas de mensajes de un servidor de comando y control (C2) y extrae la lista de contactos de la víctima.
El bucle de propagación itera a través de cada contacto recopilado antes de enviar cada mensaje y después de comprobar si el C2 ha emitido un comando de pausa. Los mensajes se personalizan sustituyendo variables por saludos y nombres de contacto basados en la hora.
Trend Micro señala que la campaña utiliza un sofisticado C2 remoto que permite la gestión en tiempo real. Los operadores pueden pausar, reanudar y supervisar la propagación para ejecutar operaciones coordinadas en los hosts infectados.
El malware Maverick solo se implementa después de confirmar que el cliente está en Brasil
Cyberproof y Trend Micro confirmaron que Maverick se instala solo tras confirmar que el host está en Brasil mediante la comprobación de la zona horaria, el idioma, la región del sistema y el formato de fecha y hora. Esta última empresa también descubrió que la cadena restringe su ejecución a sistemas en portugués.
Según el informe de Trend Micro, la infraestructura C2 incluye canales basados en correo electrónico, lo que aumenta su redundancia y dificulta su detección. CyberProof también encontró evidencia de que el malware se centró en hoteles en Brasil. Las empresas de seguridad temían que el actor pudiera ampliar sus objetivos al sector hotelero, muy frecuentado por objetivos de alto valor.
Las búsquedas de VirusTotal ayudaron al equipo a recopilar muestras relacionadas y a vincular sus hallazgos con investigaciones públicas de Kaspersky, Sophos y Trend Micro. Sin embargo, el análisisdent de la empresa de seguridad CyberProof reveló que no se pudo observar la cadena de infección completa porque los archivos del C2 no se entregaron durante la investigación.
