Maverick恶意软件入侵WhatsApp Web

网络安全公司 Cyber​​Proof、Trend Micro、Sophos 和 Kaspersky 认为，Maverick 通过将 Visual Basic Sc​​ript 和 PowerShell 与浏览器自动化相结合来攻击 WhatsApp 网页版用户，从而劫持帐户并向联系人发送恶意 ZIP 压缩文件。.

Cyber​​Proof 的安全运营中心 (SOC) 团队 调查了 。dent 通过 WhatsApp 网页界面下载可疑文件的事件。该文件是一个名为 NEW-20251001_152441-PED_561BCF01.zip 的 ZIP 压缩文件 

他们恢复了哈希值 SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e 和 SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de。当受害者执行压缩包内的快捷方式 (LNK) 时，它会对代码进行反混淆，从而构建并运行 cmd 或 PowerShell 命令，这些命令会联系攻击者的服务器以获取第一阶段的有效载荷。.

Maverick恶意软件加载器通过 classic 混淆技术隐藏

根据 Cyber​​Proof 研究团队上周一发布的博文，该加载器结合了分割令牌、Base64 编码和 UTF-16LE 编码的 PowerShell 代码。它会检查是否存在逆向工程工具，如果检测到分析人员，加载器会自动终止。否则，它会下载名为 SORVEPOTEL 的蠕虫病毒和名为 Maverick 的银行木马。.

趋势科技上月初首次记录了 Maverick，这是一款监控网络活动的银行木马，并将其与一个名为 Water Saci 的黑客组织联系起来。SORVEPOTEL 是一种能够自我传播的恶意软件，它通过 WhatsApp Web 方式是将包含恶意代码的 ZIP 压缩包打包后分发出去。 

Maverick 会扫描活跃的浏览器标签页，查找与预先编码的巴西拉丁美洲金融机构列表相匹配的 URL。如果发现匹配项，该木马程序会从远程服务器获取后续命令，并请求系统数据以发送旨在窃取dent的钓鱼页面。.

卡巴斯基反病毒软件公司的安全团队检测到 Maverick 与一款名为 Coyote 的旧版银行恶意软件存在多处 代码重叠 。英国安全软件公司 Sophos 表示，Maverick 有可能是 Coyote 的演变版本，但卡巴斯基认为 Maverick 对巴西 WhatsApp 网页版用户构成独立威胁。

Maverick 如何劫持 WhatsApp 网页版

Cyber​​Proof 的研究表明，该攻击活动避免使用 .NET 二进制文件，而是倾向于使用 VBScript 和 PowerShell。压缩包中包含一个名为 Orcamento.vbs 的混淆 VBScript 下载器，研究人员认为该下载器与 SORVEPOTEL 有关。. 

该 VBScript 脚本会执行一条 PowerShell 命令，该命令直接在内存中运行 tadeu.ps1 文件，而 PowerShell 有效载荷则通过 ChromeDriver 和 Selenium 自动化 Chrome 浏览器。它会接管 受害者的 WhatsApp Web 会话，并将恶意 ZIP 文件分发给所有联系人。

该恶意软件会终止所有正在运行的 Chrome 进程，并将合法的 Chrome 配置文件复制到临时工作区，然后再发送任何消息。. 

“这些数据包括 cookie、身份验证令牌和已保存的浏览器会话，使恶意软件能够绕过 WhatsApp Web 的身份验证，让黑客无需任何安全警报或二维码扫描即可立即访问受害者的 WhatsApp 帐户，”美日合资网络安全软件公司趋势科技推测道。.

该脚本在控制 Web 应用后，会显示一个名为“WhatsApp Automation v6.0”的欺骗性横幅，以掩盖其正在进行的操作。PowerShell 代码会从命令与控制 (C2) 服务器检索消息模板，并窃取受害者的联系人列表。. 

传播循环会在发送每条消息之前遍历所有已收集的联系人，并在检查C2是否已发出暂停命令之后进行检查。消息会通过将变量替换为基于时间的问候语和联系人姓名来实现个性化。.

趋势科技 指出， 此次攻击活动使用了复杂的远程指挥控制（C2）系统，支持实时管理。操作人员可以暂停、恢复并监控病毒传播，从而在受感染的主机上执行协调一致的攻击行动。 

Maverick Malware 仅在确认客户端位于巴西后才会部署。 

Cyber​​proof 和 Trend Micro 证实，Maverick 病毒仅在确认主机位于巴西后才会安装，其验证方式包括检查时区、语言、系统区域以及日期和时间格式。Trend Micro 还发现，该病毒链仅支持葡萄牙语系统。. 

根据趋势科技的报告，C2基础设施包含基于电子邮件的渠道，这增强了其冗余性，同时也使其难以被检测到。Cyber​​Proof也发现有证据表明，该恶意软件专门针对巴西的酒店。安全公司担心攻击者可能会将目标扩大到酒店业，因为酒店业是高价值目标的聚集地。.

VirusTotal 的搜索帮助团队收集了相关样本，并将他们的发现与卡巴斯基、Sophos 和趋势科技的公开研究结果联系起来。然而，安全公司 Cyber​​Proof 的dent 分析显示，由于调查期间 C2 服务器的文件传输失败，因此无法观察到完整的感染链。.