Pesquisadores de segurança identificaram conexões entre dois malwares bancários que têm como alvo usuários e instituições financeiras no Brasil: o Coyote e o recém-descoberto Maverick. Ambos os programas maliciosos são escritos em .NET e compartilham funcionalidades idênticas para descriptografar URLs bancárias e monitorar aplicações financeiras. A característica mais preocupante comum aos dois é a capacidade de propagação através do WhatsApp Web, explorando a popularidade do aplicativo no Brasil, que possui mais de 148 milhões de usuários ativos.
O Maverick foi documentado pela primeira vez pela Trend Micro no mês passado e atribuído a um grupo de ameaças denominado Water Saci. A campanha envolve dois componentes principais: um malware autopropagante chamado SORVEPOTEL, que se espalha pela versão web do WhatsApp, e o próprio payload Maverick, entregue através de arquivos ZIP. O malware monitora as abas ativas do navegador em busca de URLs que correspondam a uma lista codificada de instituições financeiras da América Latina. Quando há correspondência, o programa estabelece contato com um servidor remoto para baixar comandos adicionais e servir páginas de phishing para roubar credenciais bancárias.
A empresa CyberProof revelou detalhes técnicos sobre a cadeia de infecção do Maverick. O arquivo ZIP contém um atalho do Windows que, quando executado, utiliza cmd.exe ou PowerShell para se conectar a um servidor externo e baixar a primeira etapa do payload. O script PowerShell é capaz de lançar ferramentas intermediárias projetadas para desabilitar o Microsoft Defender Antivirus e o UAC, além de recuperar um carregador .NET. Este carregador possui técnicas anti-análise para verificar a presença de ferramentas de engenharia reversa e possui mecanismos de verificação geográfica, instalando o Maverick apenas após confirmar que a vítima está localizada no Brasil através da verificação de fuso horário, idioma, região e formato de data e hora.
A Trend Micro documentou uma nova cadeia de ataque do Water Saci que apresenta características ainda mais sofisticadas. O ataque utiliza infraestrutura de comando e controle baseada em email, empregando conexões IMAP para contas de email da terra.com.br com credenciais codificadas. Algumas dessas contas são protegidas por autenticação multifator, o que obriga os atacantes a inserir manualmente códigos de autenticação únicos. O malware implementa um mecanismo de controle remoto sofisticado que permite aos criminosos pausar, retomar e monitorar a propagação pelo WhatsApp em tempo real, transformando as máquinas infectadas em uma botnet. A lista de comandos suportados inclui coleta de informações do sistema, execução de comandos, captura de telas, gerenciamento de arquivos, e até mesmo reinicialização ou desligamento do sistema. A natureza generalizada da campanha é impulsionada pela enorme base de usuários do WhatsApp no Brasil, e os pesquisadores indicam que o Water Saci provavelmente está vinculado ao Coyote, operando dentro do mesmo ecossistema criminoso brasileiro.
Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.
Com informações de The Hacker News