Caçadores de ameaças identificaram semelhanças entre o malware bancário Coyote e uma nova ameaça chamada Maverick, que vem sendo disseminada pelo WhatsApp.
Segundo relatório da CyberProof, ambos os malwares são desenvolvidos em .NET, têm como alvo usuários e bancos brasileiros e compartilham funcionalidades idênticas, como a capacidade de descriptografar dados, monitorar URLs bancárias e acompanhar o uso de aplicativos financeiros.
Um ponto crucial é que ambos utilizam um mecanismo de propagação via WhatsApp Web.
O Maverick foi documentado pela primeira vez pela Trend Micro no início do mês passado, sendo atribuído a um grupo de ameaças conhecido como Water Saci.
A campanha envolve dois componentes: um malware autorreplicante chamado SORVEPOTEL, que se espalha pela versão desktop do WhatsApp Web, e um arquivo ZIP contendo o payload do Maverick.
Esse malware monitora as abas ativas do navegador em busca de URLs de instituições financeiras da América Latina, pré-definidas no código.
Quando identifica um endereço correspondente, conecta-se a um servidor remoto para receber comandos que visam coletar informações do sistema e exibir páginas de phishing para roubar credenciais.
A empresa de segurança Sophos foi a primeira a levantar a hipótese de relação entre as campanhas anteriores que distribuíam o Coyote, direcionadas a usuários brasileiros, e o Maverick, sugerindo que o segundo seria uma evolução do primeiro.
Análise da Kaspersky confirmou diversas sobreposições de código entre os dois, mas classificou o Maverick como uma ameaça nova e dirigida em larga escala ao Brasil.
Os achados mais recentes da CyberProof revelam que o arquivo ZIP contém um atalho do Windows (LNK) que, ao ser executado, roda cmd.exe ou PowerShell para se conectar ao servidor externo "zapgrande[.]com" e baixar o payload inicial.
O script PowerShell é capaz de desativar o Microsoft Defender Antivirus, contornar o UAC (User Account Control) e carregar um loader em .NET.
Esse loader utiliza técnicas anti-análise para detectar ferramentas de engenharia reversa e se autoencerrar caso sejam encontradas.
Em seguida, baixa os módulos principais do ataque: SORVEPOTEL e Maverick.
É importante destacar que o Maverick só é instalado após confirmar que a vítima está no Brasil, analisando fuso horário, idioma, região e formato de data/hora do dispositivo infectado.
A CyberProof também encontrou indícios de que o malware está sendo usado para atacar hotéis no país, sugerindo uma expansão dos alvos.
Essa divulgação ocorre enquanto a Trend Micro detalha a nova cadeia de ataque do Water Saci, que utiliza uma infraestrutura de command-and-control (C2) baseada em e-mails, emprega múltiplos vetores de persistência para aumentar a resiliência e incorpora diversas verificações avançadas para evitar detecção, aprimorar o sigilo operacional e limitar a execução apenas a sistemas configurados em português.
"A nova cadeia de ataque conta com um sistema remoto sofisticado de comando e controle que permite aos agentes maliciosos gerenciar a campanha em tempo real, incluindo pausar, retomar e monitorar o malware, convertendo máquinas infectadas em uma botnet para operações coordenadas e dinâmicas em múltiplos pontos", destacou a empresa em relatório divulgado no fim do mês passado.
### Nova cadeia de ataques do Water Saci
A sequência de infecção abandona binários em .NET em favor de scripts em Visual Basic Script (VBS) e PowerShell para sequestrar sessões do WhatsApp Web e disseminar o arquivo ZIP pelo aplicativo.
Assim como na cadeia anterior, o sequestro do WhatsApp Web é realizado com o download do ChromeDriver e Selenium para automação do navegador.
A infecção é disparada quando o usuário baixa e extrai o arquivo ZIP, que contém um downloader VBS ofuscado chamado "Orcamento.vbs" (SORVEPOTEL).
Esse arquivo executa um comando PowerShell para baixar e rodar um script ("tadeu.ps1") diretamente na memória.
Esse script PowerShell assume o controle da sessão do WhatsApp Web da vítima e distribui os arquivos ZIP maliciosos para todos os contatos do usuário, exibindo uma mensagem falsa chamada "WhatsApp Automation v6.0" para ocultar sua intenção maliciosa.
Além disso, ele se comunica com um servidor C2 para buscar templates de mensagens e extrair listas de contatos.
"Após encerrar processos do Chrome em execução e limpar sessões antigas para garantir um funcionamento limpo, o malware copia os dados legítimos do perfil do Chrome da vítima para sua área temporária", explicou a Trend Micro.
"Esses dados incluem cookies, tokens de autenticação e sessões salvas."
### Linha do tempo da campanha Water Saci
"Essa técnica permite ao malware contornar completamente a autenticação do WhatsApp Web, acessando a conta da vítima sem disparar alertas de segurança ou exigir escaneamento de QR code."
O malware ainda implementa um robusto mecanismo de controle remoto que possibilita aos invasores pausar, retomar e monitorar a propagação via WhatsApp em tempo real, transformando a disseminação em uma botnet capaz de gerenciar as máquinas comprometidas.
Quanto à distribuição do arquivo ZIP, o código PowerShell percorre todos os contatos reunidos e verifica se existe algum comando de pausa antes de enviar mensagens personalizadas, substituindo variáveis por cumprimentos baseados no horário e pelos nomes dos contatos.
Outro aspecto relevante do SORVEPOTEL é o uso da conexão IMAP para contas de e-mail terra.com[.]br, cujas credenciais estão codificadas no malware, para receber comandos em vez de usar comunicação tradicional via HTTP.
Algumas dessas contas contam com autenticação multifator (MFA), dificultando o acesso não autorizado.
Essa camada extra de segurança causa atrasos operacionais, pois cada login requer que o invasor insira manualmente um código de autenticação único para acessar a caixa de entrada e recuperar o URL do servidor C2 para envio de comandos.
O backdoor consulta periodicamente esse servidor para obter instruções, que incluem comandos como:
- INFO: coleta detalhada de informações do sistema
- CMD: execução de comando via cmd.exe e exportação dos resultados
- POWERSHELL: execução de comando PowerShell
- SCREENSHOT: captura de tela
- TASKLIST: listagem de processos em execução
- KILL: término de processo específico
- LIST_FILES: listagem de arquivos e pastas
- DOWNLOAD_FILE e UPLOAD_FILE: transferência de arquivos
- DELETE, RENAME, COPY, MOVE: manipulação de arquivos e pastas
- FILE_INFO: metadados detalhados de arquivos
- SEARCH: busca recursiva por arquivos via padrão
- CREATE_FOLDER: criação de pastas
- REBOOT e SHUTDOWN: reinício e desligamento do sistema com atraso de 30 segundos
- UPDATE: atualização do próprio malware
- CHECK_EMAIL: verificação de novos URLs C2 via e-mail
A ampla propagação da campanha se deve à popularidade do WhatsApp no Brasil, que ultrapassa 148 milhões de usuários ativos, tornando o país o segundo maior mercado do mundo, atrás apenas da Índia.
"As formas de infecção e a evolução tática contínua, aliadas ao foco regional, indicam que Water Saci provavelmente está ligado ao Coyote, e ambas as campanhas operam dentro do mesmo ecossistema cibercriminoso brasileiro", concluiu a Trend Micro, qualificando os invasores como agressivos "em quantidade e qualidade."
"Relacionar a campanha Water Saci ao Coyote revela um panorama maior que demonstra uma mudança significativa nas formas de propagação do trojan bancário.
Os agentes passaram a explorar perfis legítimos de navegador e plataformas de mensagens para ataques furtivos e escaláveis, abandonando payloads tradicionais."
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...