Le logiciel malveillant Maverick prend le contrôle de WhatsApp Web

Les sociétés de cybersécurité CyberProof, Trend Micro, Sophos et Kaspersky pensent que Maverick attaque les utilisateurs de WhatsApp Web en combinant Visual Basic Script et PowerShell avec l'automatisation du navigateur pour détourner des comptes et envoyer des archives ZIP malveillantes aux contacts.

L'équipe SOC de CyberProof a enquêté sur undent au cours duquel un fichier suspect a été téléchargé via l'interface web de WhatsApp. Il s'agissait d'une archive ZIP nommée NEW-20251001_152441-PED_561BCF01.zip. 

Ils ont récupéré les hachages SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e et SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Lorsqu'une victime exécute un raccourci (LNK) contenu dans l'archive, celui-ci désobfusque le code permettant de compiler et d'exécuter cmd ou PowerShell. Les commandes contactent ensuite un serveur de l'attaquant pour récupérer la charge utile de la première étape.

Chargeur de logiciels malveillants Maverick dissimulé par une obfuscation classic

D'après un article de blog publié lundi dernier par l'équipe de recherche CyberProof, le programme d'exécution utilise des jetons fractionnés combinés à du code PowerShell encodé en Base64 et UTF-16LE. Il détecte la présence d'outils de rétro-ingénierie et, si des analystes sont détectés, il s'arrête automatiquement. Dans le cas contraire, il télécharge un ver nommé SORVEPOTEL et un cheval de Troie bancaire connu sous le nom de Maverick.

Trend Micro a documenté Maverick, un cheval de Troie bancaire qui surveille l'activité web, au début du mois dernier et l'a associé à un acteur nommé Water Saci. SORVEPOTEL est un logiciel malveillant auto-réplicatif qui se propage via WhatsApp Web en distribuant une archive ZIP contenant un code malveillant. 

Maverick analyse les onglets ouverts du navigateur à la recherche d'URL correspondant à une liste prédéfinie d'institutions financières latino-américaines originaires du Brésil. Si une correspondance est trouvée, le cheval de Troie récupère des commandes auprès d'un serveur distant et demande des données système pour envoyer des pages d'hameçonnage destinées à collecter desdent.

L'équipe de sécurité de Kaspersky, société spécialisée dans les logiciels antivirus, a détecté plusieurs similitudes de code entre Maverick et un ancien logiciel malveillant bancaire appelé Coyote. Sophos, éditeur britannique de logiciels de sécurité, a indiqué que Maverick pourrait être une évolution de Coyote, mais Kaspersky considère Maverick comme une menace distincte pour les utilisateurs de WhatsApp Web au Brésil.

Comment Maverick détourne WhatsApp Web

Les recherches de CyberProof indiquent que la campagne évite les binaires .NET au profit de VBScript et PowerShell. L'archive ZIP contient un téléchargeur VBScript obfusqué nommé Orcamento.vbs, que les chercheurs associent à SORVEPOTEL. 

Le script VBScript exécute une commande PowerShell qui lance directement tadeu.ps1 en mémoire, tandis que la charge utile PowerShell automatise Chrome via ChromeDriver et Selenium. Elle prend le contrôle de la WhatsApp Web de la victime et distribue le fichier ZIP malveillant à tous ses contacts.

Le logiciel malveillant met fin à tous les processus Chrome en cours d'exécution et copie le profil Chrome légitime dans un espace de travail temporaire avant d'envoyer tout message. 

« Ces données comprennent les cookies, les jetons d'authentification et la session de navigation enregistrée, et permettent au logiciel malveillant de contourner l'authentification de WhatsApp Web pour donner à un pirate un accès immédiat au compte WhatsApp de la victime sans aucune alerte de sécurité ni scan de code QR », a supposé la société américano-japonaise de logiciels de cybersécurité Trend Micro.

Après avoir pris le contrôle de l'application web, le script affiche une bannière trompeuse intitulée « WhatsApp Automation v6.0 » afin de dissimuler son activité. Le code PowerShell récupère des modèles de messages depuis un serveur de commande et de contrôle (C2) et exfiltre la liste de contacts de la victime. 

La boucle de propagation parcourt chaque contact collecté avant l'envoi de chaque message et après avoir vérifié si le C2 a émis une commande de pause. Les messages sont personnalisés en remplaçant les variables par des salutations temporelles et les noms des contacts.

Trend Micro indique que la campagne utilise un système de commande et de contrôle à distance sophistiqué permettant une gestion en temps réel. Les opérateurs peuvent suspendre, reprendre et surveiller la propagation afin de mener des opérations coordonnées sur les hôtes infectés. 

Le logiciel malveillant Maverick ne se déploie qu'après confirmation que le client se trouve au Brésil 

Cyberproof et Trend Micro ont confirmé que Maverick ne s'installe qu'après vérification de la localisation de l'hôte au Brésil, via le contrôle du fuseau horaire, de la langue, de la région système et du format de date et d'heure. Trend Micro a également constaté que la chaîne limite son exécution aux systèmes en langue portugaise. 

D'après le rapport de Trend Micro, l'infrastructure C2 utilise des canaux de messagerie électronique, ce qui renforce sa redondance tout en la rendant difficile à détecter. CyberProof a également constaté que le logiciel malveillant ciblait spécifiquement les hôtels au Brésil. Les entreprises de sécurité craignent que l'acteur n'étende ses objectifs au secteur de l'hôtellerie, un secteur fréquenté par des cibles de grande valeur.

Les recherches sur VirusTotal ont permis à l'équipe de collecter des échantillons pertinents et de relier ses conclusions aux recherches publiques de Kaspersky, Sophos et Trend Micro. Cependant, l'analyse de l'dent par la société de sécurité CyberProof a révélé que la chaîne d'infection complète n'a pas pu être observée, car les fichiers provenant du serveur de commande et de contrôle (C2) n'ont pas pu être livrés lors de son investigation.