Foto di Le aziende di sicurezza informatica CyberProof, Trend Micro, Sophos e Kaspersky ritengono che Maverick attacchi gli utenti di WhatsApp Web combinando Visual Basic Script e PowerShell con l'automazione del browser per dirottare gli account e inviare archivi ZIP dannosi ai contatti.
Il team SOC di CyberProof ha indagato su un dent in cui un file sospetto è stato scaricato tramite l'interfaccia web di WhatsApp. Il file era un archivio ZIP denominato NEW-20251001_152441-PED_561BCF01.zip.
Hanno recuperato gli hash SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e e SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Quando le vittime eseguono un collegamento (LNK) all'interno dell'archivio, questo deoffusca il codice per compilare ed eseguire cmd o PowerShell, e i comandi contattano un server aggressore per recuperare il payload della prima fase.
Secondo un post sul blog pubblicato lunedì scorso dal team di ricerca di CyberProof, il loader è dotato di token divisi combinati con PowerShell codificato in Base64 e UTF-16LE. Verifica la presenza di strumenti di reverse engineering e, se sono presenti analisti, si arresta automaticamente. In caso contrario, scarica un worm chiamato SORVEPOTEL e un trojan bancario noto come Maverick.
Trend Micro ha documentato per la prima volta Maverick, il trojan bancario che monitora l'attività web, all'inizio del mese scorso, e lo ha collegato a un attore chiamato Water Saci. SORVEPOTEL è un malware auto-propagante che si diffonde tramite WhatsApp Web inviando l'archivio ZIP contenente codice dannoso.
Maverick analizza le schede attive del browser alla ricerca di URL che corrispondano a un elenco hard-coded di istituti finanziari latinoamericani in Brasile. Se viene rilevata una corrispondenza, il trojan recupera i comandi successivi da un server remoto e richiede i dati di sistema per inviare pagine di phishing volte a raccoglieredent.
Il team di sicurezza dell'azienda antivirus Kaspersky ha rilevato diverse sovrapposizioni di codice tra Maverick e un vecchio malware bancario chiamato Coyote. La società di sicurezza britannica Sophos ha affermato che è possibile che Maverick sia un'evoluzione di Coyote, ma Kaspersky lo considera una minaccia concreta per gli utenti di WhatsApp in Brasile.
Come Maverick dirotta il web di WhatsApp
La ricerca di CyberProof ha evidenziato che la campagna evita i file binari .NET a favore di VBScript e PowerShell. L'archivio ZIP contiene un downloader VBScript offuscato denominato Orcamento.vbs, che i ricercatori collegano a SORVEPOTEL.
Il VBScript esegue un comando PowerShell che esegue tadeu.ps1 direttamente in memoria, mentre il payload di PowerShell automatizza Chrome tramite ChromeDriver e Selenium. Prende il controllo della Web di WhatsApp della vittima e distribuisce il file ZIP dannoso a tutti i contatti.
Il malware termina tutti i processi Chrome in esecuzione e copia il profilo Chrome legittimo in un'area di lavoro temporanea prima di inviare qualsiasi messaggio.
"Questi dati includono cookie, token di autenticazione e la sessione del browser salvata e consentono al malware di bypassare l'autenticazione di WhatsApp Web per dare a un hacker accesso immediato all'account WhatsApp della vittima senza alcun avviso di sicurezza o scansione del codice QR", ha ipotizzato la società di software per la sicurezza informatica americano-giapponese Trend Micro.
Dopo aver preso il controllo dell'app Web, lo script visualizza un banner ingannevole con l'etichetta "WhatsApp Automation v6.0" per nascondere le operazioni in corso. Il codice PowerShell recupera i modelli di messaggio da un server di comando e controllo (C2) ed esfiltra l'elenco dei contatti della vittima.
Il ciclo di propagazione itera attraverso ogni contatto raccolto prima di inviare ogni messaggio e dopo aver verificato se il C2 ha emesso un comando di pausa. I messaggi vengono personalizzati sostituendo le variabili con saluti basati sul tempo e nomi dei contatti.
Trend Micro sottolinea che la campagna utilizza un sofisticato C2 remoto che supporta la gestione in tempo reale. Gli operatori possono mettere in pausa, riprendere e monitorare la propagazione per eseguire operazioni coordinate sugli host infetti.
Il malware Maverick viene distribuito solo dopo aver confermato che il client si trova in Brasile
Cyberproof e Trend Micro hanno confermato che Maverick si installa solo dopo aver verificato che l'host si trovi in Brasile, verificando il fuso orario, la lingua, la regione del sistema e il formato di data e ora. Quest'ultima azienda ha anche scoperto che la catena limita l'esecuzione ai sistemi in lingua portoghese.
Secondo il report di Trend Micro, l'infrastruttura C2 include canali basati sulla posta elettronica, il che ne aumenta la ridondanza e ne rende difficile il rilevamento. CyberProof ha anche trovato prove che il malware ha individuato hotel in Brasile. Le società di sicurezza temevano che l'autore potesse estendere i suoi obiettivi al settore alberghiero, frequentato da obiettivi di alto valore.
Le ricerche di VirusTotal hanno aiutato il team a raccogliere campioni correlati e a collegare i risultati alle ricerche pubbliche di Kaspersky, Sophos e Trend Micro. Tuttavia, l'analisident condotta dall'azienda di sicurezza CyberProof ha rivelato che non è stato possibile osservare l'intera catena di infezione perché i file del C2 non sono stati consegnati durante l'indagine.
