Malware Maverick assume o controle do WhatsApp Web

As empresas de cibersegurança CyberProof, Trend Micro, Sophos e Kaspersky acreditam que o Maverick ataca usuários do WhatsApp Web combinando Visual Basic Script e PowerShell com automação de navegador para sequestrar contas e enviar arquivos ZIP maliciosos para contatos.

A equipe SOC da CyberProof investigou umdent em que um arquivo suspeito foi baixado através da interface web do WhatsApp. O arquivo era um arquivo ZIP chamado NEW-20251001_152441-PED_561BCF01.zip. 

Eles recuperaram os hashes SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e e SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Quando as vítimas executam um atalho (LNK) dentro do arquivo compactado, o código é desofuscado para compilar e executar comandos do cmd ou do PowerShell, e esses comandos contatam um servidor do atacante para obter o payload da primeira etapa.

Carregador de malware Maverick oculto por meio de ofuscação classic

De acordo com uma postagem no blog publicada na última segunda-feira pela equipe de pesquisa da CyberProof, o carregador possui tokens divididos combinados com PowerShell codificado em Base64 e UTF-16LE. Ele verifica a presença de ferramentas de engenharia reversa e, caso analistas estejam presentes, o carregador se encerra automaticamente. Caso contrário, ele baixa um worm chamado SORVEPOTEL e um trojan bancário conhecido como Maverick.

A Trend Micro documentou pela primeira vez o Maverick, um trojan bancário que monitora a atividade na web, no início do mês passado, e o vinculou a um grupo que denomina Water Saci. O SORVEPOTEL é um malware de propagação automática que se espalha pelo WhatsApp Web , distribuindo um arquivo ZIP contendo o código malicioso. 

O Maverick examina as abas ativas do navegador em busca de URLs que correspondam a uma lista pré-definida de instituições financeiras latino-americanas a partir do Brasil. Se uma correspondência for encontrada, o trojan busca comandos subsequentes em um servidor remoto e solicita dados do sistema para enviar páginas de phishing destinadas a coletardent.

A equipe de segurança da Kaspersky, empresa de software antivírus, detectou diversas sobreposições de código entre o Maverick e um malware bancário mais antigo chamado Coyote. A empresa britânica de software de segurança Sophos afirmou que existe a possibilidade de o Maverick ser uma evolução do Coyote, mas a Kaspersky o considera uma ameaça distinta para usuários do WhatsApp Web no Brasil.

Como o Maverick sequestra o WhatsApp Web

A pesquisa da CyberProof afirmou que a campanha evita binários .NET em favor de VBScript e PowerShell. O arquivo ZIP contém um downloader VBScript ofuscado chamado Orcamento.vbs, que os pesquisadores associam ao SORVEPOTEL. 

O VBScript executa um comando do PowerShell que roda o arquivo tadeu.ps1 diretamente na memória, enquanto o payload do PowerShell automatiza o Chrome por meio do ChromeDriver e do Selenium. Ele assume o controle da do WhatsApp Web da vítima e distribui o arquivo ZIP malicioso para todos os contatos.

O malware encerra todos os processos do Chrome em execução e copia o perfil legítimo do Chrome para um espaço de trabalho temporário antes de enviar qualquer mensagem. 

“Esses dados incluem cookies, tokens de autenticação e a sessão de navegador salva, permitindo que o malware ignore a autenticação do WhatsApp Web e dê ao hacker acesso imediato à conta do WhatsApp da vítima, sem alertas de segurança ou leitura de código QR”, concluiu a Trend Micro, empresa nipo-americana de software de segurança cibernética.

O script, após assumir o controle do aplicativo web, exibe um banner enganoso com o rótulo “WhatsApp Automation v6.0” para ocultar suas operações em andamento. O código PowerShell recupera modelos de mensagens de um servidor de comando e controle (C2) e extrai a lista de contatos da vítima. 

O loop de propagação percorre cada contato coletado antes de enviar cada mensagem e após verificar se o C2 emitiu um comando de pausa. As mensagens são personalizadas substituindo variáveis ​​por saudações baseadas em tempo e nomes de contato.

A Trend Micro observa que a campanha utiliza um sofisticado sistema de comando e controle remoto (C2) que suporta gerenciamento em tempo real. Os operadores podem pausar, retomar e monitorar a propagação para executar operações coordenadas em hosts infectados. 

O malware Maverick só é implantado após a confirmação de que o cliente está no Brasil 

A Cyberproof e a Trend Micro confirmaram que o Maverick só é instalado após a confirmação de que o host está no Brasil, por meio da verificação do fuso horário, idioma, região do sistema e formato de data e hora. A Trend Micro também constatou que a cadeia restringe a execução a sistemas em português. 

De acordo com o relatório da Trend Micro, a infraestrutura de comando e controle (C2) inclui canais baseados em e-mail, o que aumenta sua redundância e dificulta sua detecção. A CyberProof também encontrou evidências de que o malware tinha como alvo hotéis no Brasil. As empresas de segurança temiam que o agente malicioso pudesse ampliar seus objetivos para o setor hoteleiro, muito frequentado por alvos de alto valor.

As buscas no VirusTotal ajudaram a equipe a coletar amostras relacionadas e a vincular suas descobertas a pesquisas públicas da Kaspersky, Sophos e Trend Micro. No entanto, a análisedent da empresa de segurança CyberProof revelou que a cadeia completa de infecção não pôde ser observada porque os arquivos do servidor de comando e controle (C2) não foram entregues durante a investigação.