사이버 보안 업체인 사이버프루프, 트렌드 마이크로, 소포스, 카스퍼스키는 매버릭이 비주얼 베이직 스크립트와 파워포인트를 브라우저 자동화와 결합하여 왓츠앱 웹 사용자의 계정을 탈취하고 악성 ZIP 압축 파일을 연락처에 전송하는 방식으로 공격한다고 보고 있습니다.
사이버프루프의 SOC 팀은 WhatsApp 웹 인터페이스를 통해 의심스러운 파일이 다운로드된 사건을 조사했습니다. 해당 파일은 NEW-20251001_152441-PED_561BCF01.zip이라는 이름의 ZIP 압축 파일 dent .
복구된 해시는 SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e와 SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de입니다. 피해자가 아카이브 내의 바로가기(LNK)를 실행하면 난독화 해제되어 cmd 또는 PowerShell을 빌드하고 실행하게 되며, 해당 명령은 공격자 서버에 접속하여 1단계 페이로드를 가져옵니다.
사이버프루프(CyberProof) 연구팀이 지난 월요일에 발표한 블로그 게시물에 따르면, 해당 로더는 분할 토큰과 Base64 및 UTF-16LE로 인코딩된 PowerShell을 결합한 형태로 구성되어 있습니다. 로더는 리버스 엔지니어링 도구를 탐지하고, 분석가가 있는 경우 자체적으로 종료됩니다. 그렇지 않은 경우에는 SORVEPOTEL이라는 웜과 Maverick이라는 뱅킹 트로이목마를 다운로드합니다.
트렌드 마이크로는 지난달 초 웹 활동을 모니터링하는 뱅킹 트로이목마인 매버릭(Maverick)을 처음으로 발견하고 이를 워터 사시(Water Saci)라는 공격자와 연관시켰습니다. 소르베포텔(SORVEPOTEL)은 악성 코드가 담긴 ZIP 압축 파일을 배포하여 왓츠앱 웹(WhatsApp Web)을
Maverick은 활성화된 브라우저 탭을 스캔하여 브라질을 포함한 라틴 아메리카 금융 기관 목록과 일치하는 URL을 찾습니다. 일치하는 항목이 발견되면 트로이목마는 원격 서버에서 후속 명령을 가져와 시스템 데이터를 요청하여dent정보를 수집하기 위한 피싱 페이지를 전송합니다.
안티바이러스 소프트웨어 회사인 카스퍼스키의 보안팀은 매버릭과 코요테라는 기존 뱅킹 악성코드 사이에 여러 코드 중복을 . 영국 보안 소프트웨어 회사인 소포스는 매버릭이 코요테의 진화형일 가능성이 있다고 밝혔지만, 카스퍼스키는 매버릭을 브라질 기반 왓츠앱 웹 사용자에게는 별개의 위협으로 간주하고 있습니다.
Maverick이 WhatsApp 웹을 해킹하는 방법
CyberProof의 조사에 따르면 해당 공격은 .NET 바이너리 대신 VBScript와 PowerShell을 사용합니다. ZIP 압축 파일에는 Orcamento.vbs라는 이름의 난독화된 VBScript 다운로더가 포함되어 있으며, 연구원들은 이를 SORVEPOTEL과 연관 짓고 있습니다.
피해자의 WhatsApp 웹 탈취 하고 악성 ZIP 파일을 모든 연락처에 배포합니다.
해당 악성 프로그램은 실행 중인 모든 Chrome 프로세스를 종료하고 정상적인 Chrome 프로필을 임시 작업 공간에 복사한 후 메시지를 전송합니다.
미국-일본 합작 사이버 보안 소프트웨어 회사인 트렌드 마이크로는 "이 데이터에는 쿠키, 인증 토큰, 저장된 브라우저 세션이 포함되어 있으며, 악성 소프트웨어가 WhatsApp Web의 인증을 우회하여 보안 경고나 QR 코드 스캔 없이도 해커가 피해자의 WhatsApp 계정에 즉시 접근할 수 있도록 합니다."라고 추측했습니다.
해당 스크립트는 웹 앱의 제어권을 확보한 후, 진행 중인 작업 활동을 숨기기 위해 "WhatsApp Automation v6.0"이라는 기만적인 배너를 표시합니다. PowerShell 코드는 명령 및 제어(C2) 서버에서 메시지 템플릿을 가져와 피해자의 연락처 목록을 유출합니다.
전파 루프는 각 메시지를 전송하기 전에 수집된 모든 연락처를 순회하며, C2에서 일시 중지 명령을 내렸는지 확인합니다. 메시지는 변수를 시간 기반 인사말과 연락처 이름으로 대체하여 개인화됩니다.
트렌드 마이크로는 해당 캠페인이 실시간 관리를 지원하는 정교한 원격 C2 시스템을 사용한다고 밝혔습니다
Maverick Malware는 클라이언트가 브라질에 있음을 확인한 후에만 배포됩니다
사이버프루프(Cyberproof)와 트렌드 마이크로(Trend Micro)는 매버릭(Maverick)이 설치되려면 시간대, 언어, 시스템 지역, 날짜 및 시간 형식을 확인하여 호스트가 브라질에 있는지 확인해야 한다는 사실을 확인했습니다. 트렌드 마이크로는 또한 해당 보안 조치가 포르투갈어를 사용하는 시스템으로 실행을 제한한다는 사실도 발견했습니다.
트렌드마이크로 보고서에 따르면 C2 인프라에는 이메일 기반 채널이 포함되어 있어 중복성을 높이는 동시에 탐지를 어렵게 만듭니다. 사이버프루프는 또한 해당 멀웨어가 브라질의 호텔을 표적으로 삼았다는 증거를 발견했습니다. 보안 업체들은 공격자가 고가치 표적이 많이 드나드는 호텔 업계로 공격 대상을 확대할 가능성을 우려했습니다.
VirusTotal 검색을 통해 연구팀은 관련 샘플을 수집하고 Kaspersky, Sophos, Trend Micro의 공개 연구 결과와 비교할 수 있었습니다. 그러나 보안 회사 CyberProof의dent 분석 결과, C2 서버에서 전송된 파일이 조사 과정에서 누락되어 전체 감염 경로를 파악할 수 없었던 것으로 나타났습니다.
