マーベリックマルウェアがWhatsApp Webを乗っ取る

サイバーセキュリティ企業の Cyber​​Proof、Trend Micro、Sophos、および Kaspersky は、Maverick が Visual Basic Sc​​ript と PowerShell をブラウザ自動化と組み合わせて WhatsApp Web ユーザーを攻撃し、アカウントを乗っ取って悪意のある ZIP アーカイブを連絡先に送信すると考えています。.

Cyber​​ProofのSOCチームは、 インシデントdent調査しました。ダウンロードされたファイルは、NEW-20251001_152441-PED_561BCF01.zipというZIPアーカイブでした。

ハッシュSHA1 aa29bc5cf8eaf5435a981025a73665b16abb294eとSHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221deが復元されました。被害者がアーカイブ内のショートカット（LNK）を実行すると、コードが難読化解除され、cmdまたはPowerShellがビルドされて実行されます。コマンドは攻撃者のサーバーに接続し、第一段階のペイロードを取得します。.

classic 難読化によって隠されたMaverickマルウェアローダー

Cyber​​Proofの研究チームが先週月曜日に公開したブログ記事によると、このローダーは分割トークンとBase64およびUTF-16LEでエンコードされたPowerShellを組み合わせています。リバースエンジニアリングツールの有無をチェックし、アナリストが存在する場合は自己終了します。そうでない場合は、SORVEPOTELと​​呼ばれるワームと、Maverickと呼ばれるバンキング型トロイの木馬をダウンロードします。.

トレンドマイクロは先月初め、ウェブアクティビティを監視するバンキング型トロイの木馬「Maverick」を初めて文書化し、Water Saciと呼ばれる攻撃者と関連付けました。SORVEPOTELは自己増殖型のマルウェアで、WhatsApp Web。

Maverickは、ブラジルのアクティブなブラウザタブをスキャンし、ラテンアメリカの金融機関のハードコードされたリストに一致するURLを探します。一致するURLが見つかった場合、トロイの木馬はリモートサーバーから後続のコマンドを取得し、システムデータを要求して、dent情報を収集するためのフィッシングページを送信します。.

ウイルス対策ソフトウェア企業カスペルスキーのセキュリティチームは、Maverickと、古いバンキングマルウェア「Coyote」との間に複数のコード重複を。英国のセキュリティソフトウェア企業Sophosは、MaverickがCoyoteの進化版である可能性があると指摘していますが、カスペルスキーはMaverickをブラジルのWhatsAppウェブユーザーにとって明確な脅威と見なしています。

マーベリックがWhatsAppウェブをハイジャックする方法

Cyber​​Proofの調査によると、この攻撃では.NETバイナリではなくVBScriptとPowerShellが利用されているとのことです。ZIPアーカイブには、難読化されたVBScriptダウンローダー「Orcamento.vbs」が含まれており、研究者はこれをSORVEPOTELと​​関連付けています。. 

被害者のWhatsApp Webを乗っ取り、悪意のあるZIPファイルをすべての連絡先に配布します。

マルウェアは、メッセージを送信する前に、実行中の Chrome プロセスをすべて終了し、正規の Chrome プロファイルを一時的なワークスペースにコピーします。. 

「このデータには、クッキー、認証トークン、保存されたブラウザセッションが含まれており、マルウェアがWhatsApp Webの認証を回避して、セキュリティ警告やQRコードのスキャンなしにハッカーが被害者のWhatsAppアカウントにすぐにアクセスできるようにする」と日米のサイバーセキュリティソフトウェア企業であるトレンドマイクロは推測した。.

このスクリプトは、Webアプリの制御を奪取した後、「WhatsApp Automation v6.0」という偽のバナーを表示し、進行中の活動を隠蔽します。PowerShellコードは、コマンドアンドコントロール（C2）サーバーからメッセージテンプレートを取得し、被害者の連絡先リストを盗み出します。. 

伝播ループは、収集したすべての連絡先を反復処理し、各メッセージを送信する前に、C2が一時停止コマンドを発行したかどうかを確認します。メッセージは、時間ベースの挨拶と連絡先名を変数に置き換えることでパーソナライズされます。.

トレンドマイクロによると、このキャンペーンではリアルタイム管理をサポートする高度なリモートC2が使用されているとのことです。オペレーターは感染の一時停止、再開、監視を行い、感染ホスト内で協調的な操作を実行できます。

Maverickマルウェアは、クライアントがブラジルにいることを確認した後にのみ展開されます。 

Cyber​​proofとTrend Microは、Maverickがタイムゾーン、言語、システム地域、日付と時刻の形式をチェックし、ホストがブラジルにあることを確認した上でのみインストールすることを確認しました。Trend Microはまた、このマルウェアチェーンがポルトガル語のシステムでのみ実行可能であることを発見しました。. 

トレンドマイクロのレポートによると、C2インフラには電子メールベースのチャネルが含まれており、冗長性を高めながら検出を困難にしている。Cyber​​Proofはまた、このマルウェアがブラジルのホテルを標的にしていた証拠も発見した。セキュリティ企業は、この攻撃者が、高価値な標的が頻繁に訪れるホスピタリティ業界へと標的を拡大するのではないかと懸念している。.

VirusTotal検索により、チームは関連サンプルを収集し、その知見をカスペルスキー、ソフォス、トレンドマイクロの公開調査と関連付けることができました。しかし、セキュリティ企業Cyber​​Proofのdent 分析では、調査中にC2からのファイルが配信されなかったため、感染チェーン全体を観察できなかったことが明らかになりました。.