Investigadores de seguridad identificaron conexiones entre dos malwares bancarios que tienen como objetivo a usuarios e instituciones financieras en Brasil: Coyote y el recientemente descubierto Maverick. Ambos programas maliciosos están escritos en .NET y comparten funcionalidades idénticas para descifrar URLs bancarias y monitorear aplicaciones financieras. La característica más preocupante común a ambos es la capacidad de propagación a través de WhatsApp Web, explotando la popularidad de la aplicación en Brasil, que cuenta con más de 148 millones de usuarios activos.
Maverick fue documentado por primera vez por Trend Micro el mes pasado y atribuido a un grupo de amenazas denominado Water Saci. La campaña involucra dos componentes principales: un malware autopropagante llamado SORVEPOTEL, que se propaga a través de la versión web de WhatsApp, y el propio payload Maverick, entregado mediante archivos ZIP. El malware monitorea las pestañas activas del navegador en busca de URLs que coincidan con una lista codificada de instituciones financieras de América Latina. Cuando hay coincidencia, el programa establece contacto con un servidor remoto para descargar comandos adicionales y servir páginas de phishing para robar credenciales bancarias.
La empresa CyberProof reveló detalles técnicos sobre la cadena de infección de Maverick. El archivo ZIP contiene un acceso directo de Windows que, al ejecutarse, utiliza cmd.exe o PowerShell para conectarse a un servidor externo y descargar la primera etapa del payload. El script de PowerShell es capaz de lanzar herramientas intermedias diseñadas para deshabilitar Microsoft Defender Antivirus y el UAC, además de recuperar un cargador .NET. Este cargador posee técnicas anti-análisis para verificar la presencia de herramientas de ingeniería inversa y cuenta con mecanismos de verificación geográfica, instalando Maverick solo después de confirmar que la víctima está ubicada en Brasil mediante la verificación de zona horaria, idioma, región y formato de fecha y hora.
Trend Micro documentó una nueva cadena de ataque de Water Saci que presenta características aún más sofisticadas. El ataque utiliza infraestructura de comando y control basada en correo electrónico, empleando conexiones IMAP a cuentas de email de terra.com.br con credenciales codificadas. Algunas de estas cuentas están protegidas por autenticación multifactor, lo que obliga a los atacantes a insertar manualmente códigos de autenticación únicos. El malware implementa un mecanismo de control remoto sofisticado que permite a los criminales pausar, reanudar y monitorear la propagación por WhatsApp en tiempo real, convirtiendo las máquinas infectadas en una botnet. La lista de comandos soportados incluye recolección de información del sistema, ejecución de comandos, captura de pantallas, gestión de archivos, e incluso reinicio o apagado del sistema. La naturaleza generalizada de la campaña está impulsada por la enorme base de usuarios de WhatsApp en Brasil, y los investigadores indican que Water Saci probablemente está vinculado a Coyote, operando dentro del mismo ecosistema criminal brasileño.
Este post fue traducido y resumido a partir de su versión original con el uso de IA, con revisión humana.
Con información de The Hacker News