Новый банковский вредонос Maverick, написанный , нацелен на пользователей и крупные финансовые учреждения Бразилии. За его распространением стоит хакерская группа Water Saci, которую компания Trend Micro охарактеризовала как «агрессивную по количеству и качеству». Основным вектором атак является платформа WhatsApp Web, что делает кампанию особенно масштабной, учитывая популярность мессенджера в стране.
Эксперты CyberProof выявили значительное сходство между Maverick и ранее известным банковским вредоносом Coyote. Оба написаны , нацелены на бразильский рынок, используют идентичные функции для расшифровки данных и мониторинга банковских приложений, а также способны распространяться через WhatsApp Web. Эта связь позволяет рассматривать Maverick как эволюцию своего предшественника.
Мнения аналитиков по поводу связи вредоносов разделились. Компания Sophos первой публично предположила, что Maverick является развитием Coyote. Специалисты Kaspersky, обнаружив многочисленные пересечения в коде, все же классифицируют Maverick как совершенно новую угрозу. В то же время Trend Micro пришла к выводу, что группа Water Saci, скорее всего, связана с Coyote, а новая кампания демонстрирует «значительный сдвиг в методах распространения банковского трояна».
Первая задокументированная цепочка атак, проанализированная CyberProof, начиналась с доставки жертве ZIP-архива. Пользователь открывал ярлык Windows (LNK), который через
Для успешной установки загрузчик проводил географическую проверку. Он удостоверялся, что жертва находится в Бразилии, анализируя системный часовой пояс, язык, регион и формат даты/времени. Только после успешной проверки загрузчик устанавливал основные модули: компонент для самораспространения SORVEPOTEL и непосредственно сам банковский троян Maverick.
В более новой и сложной атаке, выявленной Trend Micro, злоумышленники отказались от бинарных в пользу Visual Basic Script (VBS) и PowerShell. Пользователь скачивал ZIP-архив, содержащий обфусцированный VBS-загрузчик под именем
Ключевой особенностью новой атаки стал захват сессии WhatsApp. Скрипт использовал ChromeDriver и Selenium для автоматизации браузера. Он принудительно завершал все процессы Chrome, копировал данные профиля пользователя, включая файлы cookie и токены аутентификации, и запускал новую сессию. Эта техника позволяла обойти аутентификацию WhatsApp Web и получить доступ к аккаунту без сканирования QR-кода. Для маскировки на экране жертвы отображался баннер «WhatsApp Automation v6.0».
После захвата контроля над аккаунтом вредоносное ПО начинало самораспространение. Оно использовало активную сессию WhatsApp Web жертвы для рассылки вредоносного ZIP-архива всем контактам пользователя. Это обеспечивало вирусное и быстрое распространение инфекции среди бразильских пользователей.
Командная инфраструктура (C2) новой версии Maverick основана на электронной почте. Вредонос использует протокол IMAP для подключения к почтовым ящикам на сервисе
Получив доступ к системе, Maverick превращает ее в бот, способный выполнять широкий спектр команд. Среди них: запуск исполняемых файлов (EXE) и команд PowerShell, создание скриншотов (SCREENSHOT), получение списка процессов (TASKLIST), завершение процессов (KILL), управление файлами и папками (LIST_FILES, DOWNLOAD_FILE, UPLOAD_FILE, DELETE, RENAME, COPY, MOVE, FILE_INFO, SEARCH, CREATE_FOLDER), а также перезагрузка (REBOOT) или выключение (SHUTDOWN) системы с 30-секундной задержкой. Также вредонос может обновлять себя до новой версии (UPDATE).
Масштаб кампании обусловлен тем, что Бразилия является вторым по величине рынком для WhatsApp после Индии, насчитывая более 148 миллионов активных пользователей. Данные CyberProof также указывают на возможное расширение целей злоумышленников за пределы финансового сектора, включая атаки на отели в Бразилии.
Изображение носит иллюстративный характер
Эксперты CyberProof выявили значительное сходство между Maverick и ранее известным банковским вредоносом Coyote. Оба написаны , нацелены на бразильский рынок, используют идентичные функции для расшифровки данных и мониторинга банковских приложений, а также способны распространяться через WhatsApp Web. Эта связь позволяет рассматривать Maverick как эволюцию своего предшественника.
Мнения аналитиков по поводу связи вредоносов разделились. Компания Sophos первой публично предположила, что Maverick является развитием Coyote. Специалисты Kaspersky, обнаружив многочисленные пересечения в коде, все же классифицируют Maverick как совершенно новую угрозу. В то же время Trend Micro пришла к выводу, что группа Water Saci, скорее всего, связана с Coyote, а новая кампания демонстрирует «значительный сдвиг в методах распространения банковского трояна».
Первая задокументированная цепочка атак, проанализированная CyberProof, начиналась с доставки жертве ZIP-архива. Пользователь открывал ярлык Windows (LNK), который через
cmd.exe или PowerShell подключался к внешнему серверу zapgrande[.]com для загрузки скрипта первого этапа. Этот скрипт отключал антивирус Microsoft Defender и контроль учетных записей (UAC), после чего загружал.NET-загрузчик с функциями противодействия анализу. Для успешной установки загрузчик проводил географическую проверку. Он удостоверялся, что жертва находится в Бразилии, анализируя системный часовой пояс, язык, регион и формат даты/времени. Только после успешной проверки загрузчик устанавливал основные модули: компонент для самораспространения SORVEPOTEL и непосредственно сам банковский троян Maverick.
В более новой и сложной атаке, выявленной Trend Micro, злоумышленники отказались от бинарных в пользу Visual Basic Script (VBS) и PowerShell. Пользователь скачивал ZIP-архив, содержащий обфусцированный VBS-загрузчик под именем
Orcamento.vbs. Этот скрипт, являющийся компонентом SORVEPOTEL, запускал команду PowerShell для загрузки и выполнения другого скрипта, tadeu.ps1, непосредственно в оперативной памяти. Ключевой особенностью новой атаки стал захват сессии WhatsApp. Скрипт использовал ChromeDriver и Selenium для автоматизации браузера. Он принудительно завершал все процессы Chrome, копировал данные профиля пользователя, включая файлы cookie и токены аутентификации, и запускал новую сессию. Эта техника позволяла обойти аутентификацию WhatsApp Web и получить доступ к аккаунту без сканирования QR-кода. Для маскировки на экране жертвы отображался баннер «WhatsApp Automation v6.0».
После захвата контроля над аккаунтом вредоносное ПО начинало самораспространение. Оно использовало активную сессию WhatsApp Web жертвы для рассылки вредоносного ZIP-архива всем контактам пользователя. Это обеспечивало вирусное и быстрое распространение инфекции среди бразильских пользователей.
Командная инфраструктура (C2) новой версии Maverick основана на электронной почте. Вредонос использует протокол IMAP для подключения к почтовым ящикам на сервисе
terra.com[.]br с помощью жестко закодированных учетных данных. Проверяя входящие сообщения, он получает команды и URL-адреса новых C2-серверов. Отмечается, что на некоторых аккаунтах была включена многофакторная аутентификация (MFA), что приводило к задержкам в работе, поскольку злоумышленникам приходилось вручную вводить коды. Получив доступ к системе, Maverick превращает ее в бот, способный выполнять широкий спектр команд. Среди них: запуск исполняемых файлов (EXE) и команд PowerShell, создание скриншотов (SCREENSHOT), получение списка процессов (TASKLIST), завершение процессов (KILL), управление файлами и папками (LIST_FILES, DOWNLOAD_FILE, UPLOAD_FILE, DELETE, RENAME, COPY, MOVE, FILE_INFO, SEARCH, CREATE_FOLDER), а также перезагрузка (REBOOT) или выключение (SHUTDOWN) системы с 30-секундной задержкой. Также вредонос может обновлять себя до новой версии (UPDATE).
Масштаб кампании обусловлен тем, что Бразилия является вторым по величине рынком для WhatsApp после Индии, насчитывая более 148 миллионов активных пользователей. Данные CyberProof также указывают на возможное расширение целей злоумышленников за пределы финансового сектора, включая атаки на отели в Бразилии.
