Фото Компании, занимающиеся кибербезопасностью, такие как CyberProof, Trend Micro, Sophos и Kaspersky, считают, что Maverick атакует пользователей WhatsApp Web, комбинируя Visual Basic Script и PowerShell с автоматизацией браузера для взлома учетных записей и отправки вредоносных ZIP-архивов контактам.
Группа SOC компании CyberProof расследовала инцидент, dent ходе которого подозрительный файл был загружен через веб-интерфейс WhatsApp. Файл представлял собой ZIP-архив с именем NEW-20251001_152441-PED_561BCF01.zip.
Они восстановили хеши SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e и SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Когда жертвы запускают ярлык (LNK) внутри архива, он деобфусцирует код для сборки и запуска либо cmd, либо PowerShell, а команды связываются с сервером злоумышленника для получения полезной нагрузки первого этапа.
Согласно сообщению в блоге, опубликованному в прошлый понедельник исследовательской группой CyberProof, загрузчик использует разделенные токены, объединенные с кодировкой PowerShell в Base64 и UTF-16LE. Он проверяет наличие инструментов обратного проектирования, и если таковые присутствуют, загрузчик самоуничтожается. В противном случае он загружает червя под названием SORVEPOTEL и банковский троян, известный как Maverick.
Компания Trend Micro впервые задокументировала Maverick, банковский троян, отслеживающий активность в интернете, в начале прошлого месяца и связала его с злоумышленником, которого она называет Water Saci. SORVEPOTEL — это самораспространяющееся вредоносное ПО, которое распространяется через WhatsApp Web , доставляя ZIP-архив, содержащий вредоносный код.
Maverick сканирует активные вкладки браузера на наличие URL-адресов, соответствующих жестко закодированному списку латиноамериканских финансовых учреждений из Бразилии. Если совпадение найдено, троян получает последующие команды с удаленного сервера и запрашивает системные данные для отправки фишинговых страниц, предназначенных для сбораdentданных.
Команда специалистов по безопасности компании Kaspersky обнаружила несколько совпадений в коде между Maverick и более старым банковским вредоносным ПО под названием Coyote. Британская компания Sophos заявила, что существует вероятность того, что Maverick является эволюцией Coyote, но Kaspersky рассматривает Maverick как отдельную угрозу для пользователей WhatsApp Web в Бразилии.
Как Maverick взламывает веб-версию WhatsApp
Исследование компании CyberProof показало, что в рамках кампании используются VBScript и PowerShell, а не бинарные файлы .NET. ZIP-архив содержит обфусцированный загрузчик VBScript под названием Orcamento.vbs, который исследователи связывают с SORVEPOTEL.
VBScript выполняет команду PowerShell, которая запускает tadeu.ps1 непосредственно в памяти, а полезная нагрузка PowerShell автоматизирует Chrome с помощью ChromeDriver и Selenium. Она перехватывает веб-сессию WhatsApp жертвы и распространяет вредоносный ZIP-архив всем контактам.
Вредоносная программа завершает все запущенные процессы Chrome и копирует легитимный профиль Chrome во временное рабочее пространство, прежде чем отправлять какие-либо сообщения.
«Эти данные включают файлы cookie, токены аутентификации и сохраненную сессию браузера, и позволяют вредоносному ПО обходить аутентификацию WhatsApp Web, предоставляя хакеру немедленный доступ к учетной записи WhatsApp жертвы без каких-либо предупреждений о безопасности или сканирования QR-кода», — предположила американо-японская компания Trend Micro, занимающаяся разработкой программного обеспечения для кибербезопасности.
После получения контроля над веб-приложением скрипт отображает обманчивый баннер с надписью «Автоматизация WhatsApp v6.0», чтобы скрыть свою текущую деятельность. Код PowerShell извлекает шаблоны сообщений с сервера управления и контроля (C2) и похищает список контактов жертвы.
Цикл распространения обрабатывает каждый полученный контакт перед отправкой каждого сообщения и после проверки, не отдал ли C2 команду на паузу. Сообщения персонализируются путем замены переменных на приветствия и имена контактов, привязанные ко времени.
Trend Micro отмечает, что в рамках кампании используется сложная система удаленного управления и контроля, поддерживающая управление в режиме реального времени. Операторы могут приостанавливать, возобновлять и отслеживать распространение вируса для проведения скоординированных операций на зараженных серверах.
Вредоносная программа Maverick развертывается только после подтверждения того, что клиент находится в Бразилии
Компании Cyberproof и Trend Micro подтвердили, что установка Maverick происходит только после проверки часового пояса, языка, региона системы, а также формата даты и времени на хосте, расположенном в Бразилии. Последняя компания также обнаружила, что цепочка обновлений ограничивает выполнение только системами на португальском языке.
Согласно отчету Trend Micro, инфраструктура управления и контроля включает в себя каналы связи на основе электронной почты, что повышает ее избыточность и затрудняет обнаружение. Компания CyberProof также обнаружила доказательства того, что вредоносное ПО целенаправленно атаковало отели в Бразилии. Специалисты по безопасности опасались, что злоумышленник может расширить свои цели на индустрию гостеприимства, часто посещаемую высокопоставленными лицами.
Поиск на VirusTotal помог команде собрать соответствующие образцы и связать свои выводы с общедоступными исследованиями Kaspersky, Sophos и Trend Micro. Однако анализdent , проведенный компанией CyberProof, показал, что полную цепочку заражения отследить не удалось, поскольку файлы с сервера управления и контроля (C2) не были доставлены во время расследования.
