Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

WhatsApp малвер „Maverick“ киднапира прегледувачки сесии за да ги таргетира најголемите банки во Бразил

Објавено: 12.11.2025

Истражувачи на закани открија сличности меѓу банкарски малвер наречен Coyote и ново откриен злонамерен програм наречен Maverick, кој се шири преку WhatsApp.

Според извештајот на CyberProof, двете семејства на малвер се напишани во .NET, таргетираат бразилски корисници и банки, и имаат идентична функционалност за декриптирање, таргетирање банкарски URL-адреси и мониторинг на банкарски апликации. Поважно, и двете вклучуваат можност да се шират преку WhatsApp Web.

Maverick првпат беше документиран од Trend Micro почетокот на минатиот месец, пријавувајќи го на автор на закани наречен Water Saci. Кампањата вклучува две компоненти: само-пропагирачки малвер наречен SORVEPOTEL кој се шири преку веб-верзијата на WhatsApp за десктоп и служи за доставување ZIP-архива што содржи Maverick payload.

Малверот е дизајниран да ги следи активните јазичиња на прелистувачот за URL-адреси кои се совпаѓаат со вграден список на финансиски институции во Латинска Америка. Доколку URL-адресите се совпаѓаат, тој воспоставува контакт со далечински сервер за да преземе следни команди, да собере информации за системот и да послужи фишинг-страници за крадење на акредитивите.

Кибербезбедносната фирма Sophos, во подоцнежен извештај, прва ја покрена можноста дали активноста може да е поврзана со претходно пријавените кампањи што ширеа Coyote таргетирајќи корисници во Бразил и дали Maverick е еволуција на Coyote. Друга анализа од Kaspersky откри дека Maverick содржи многу преклопувања во кодот со Coyote, но напомена дека го третира како сосема нова закана што во голема мера таргетира Бразил.

Најновите откритија од CyberProof покажуваат дека ZIP-датотеката содржи Windows пречка (LNK) која, кога ќе ја активира корисникот, покренува cmd.exe или PowerShell за да се поврзе на надворешен сервер („zapgrande[.]com“) и да го преземе првостепениот payload. PowerShell-скриптата може да покрене посреднички алатки дизајнирани да го оневозможат Microsoft Defender Antivirus и UAC, како и да преземе .NET loader.

Loader-от од своја страна користи техники против анализа за да провери присуство на алатки за обратен инженеринг и самоуништување ако такви се најдат. Потоа loader-от продолжува да ги презема главните модули на нападот: SORVEPOTEL и Maverick. Вреди да се спомене дека Maverick се инсталира само по потврда дека жртвата се наоѓа во Бразил, проверувајќи ја временската зона, јазикот, регионот и форматот на датум и време на инфицираниот хост.

CyberProof исто така соопшти дека нашол докази дека малверот бил користен за насочување кон хотели во Бразил, што укажува на можно проширување на таргетирањето.

Откривањето доаѓа додека Trend Micro ги опишуваше новите ланци на напад на Water Saci кои користат инфраструктура за командување и контрола (C2) базирана на е-пошта, потпираат на мултивекторска перзистенција за издржливост и вклучуваат неколку напредни проверки за да избегнат откривање, да ја зголемат оперативната притаеност и да ја ограничат извршливоста само на системи со португалски јазик.

„Новата ланец на напад исто така содржи софистициран систем за далечинско командување и контрола што им овозможува на актерите на закани реално- време управување, вклучувајќи паузирање, продолжување и мониторирање на кампањата на малверот, ефективно превртувајќи ги инфицираните машини во ботнет алатка за координирани, динамични операции на повеќе точки,“ рече кибербезбедносната компанија во извештај објавен кон крајот на минатиот месец.

Нов ланец на напади од Water Saci е забележан

Инфекцискиот редослед избегнува .NET бинарни датотеки и наместо тоа користи Visual Basic Script (VB Script) и PowerShell за да ги киднапира WhatsApp прелистувачките сесии и да ја шири ZIP-датотеката преку апликацијата за пораки. Слично на претходниот ланчeн напад, киднапирањето на WhatsApp Web се изведува со преземање на ChromeDriver и Selenium за автоматизација на прелистувачот.

Нападот се активира кога корисникот ќе ја преземе и распакува ZIP-архивата, која вклучува обфускиран VBS downloader („Orcamento.vbs“, познат и како SORVEPOTEL), кој, пак, извршува PowerShell команда за да преземе и да изврши PowerShell скрипта („tadeu.ps1“) директно во меморија.

Оваа PowerShell скрипта се користи за да ја преземе контролата над WhatsApp Web сесијата на жртвата и да ги дистрибуира злонамерните ZIP-датотеки до сите контакти поврзани со нивниот профил, додека истовремено прикажува измамнички банер наречен „WhatsApp Automation v6.0“ за да ја сокрие својата злонамерна намера. Дополнително, скриптата контактира C2 сервер за да преземе шаблони на пораки и да ги извлече листите на контакти.

„Откако ќе ги заврши сите постојни Chrome процеси и ќе ги исчисти старите сесии за да обезбеди чисто работење, малверот ја копира легитимната Chrome профилна содржина на жртвата во својата привремена работна папка,“ рече Trend Micro. „Овие податоци вклучуваат колачиња, токени за автентикација и зачуваната прелистувачка сесија.“

Временска линија на кампањата Water Saci

„Оваа техника му овозможува на малверот целосно да ја заобиколи автентикацијата на WhatsApp Web, добивајќи непосреден пристап до WhatsApp сметката на жртвата без да предизвика безбедносни аларми или да бара скенирање на QR-код.“

Малверот, додаде кибербезбедносната компанија, исто така имплементира софистициран механизам за далечинско управување што им дозволува на напаѓачите да паузираат, да продолжат и да го надгледуваат ширењето преку WhatsApp во реално време, ефективно претворајќи го во малвер способен да ги контролира компромитираните хостови како бот.

Што се однесува до тоа како навистина ја дистрибуира ZIP-архивата, PowerShell-кодот итера преку секој собран контакт и проверува дали постои команда за пауза пред да испрати персонализирани пораки, заменувајќи променливи во шаблонот на пораката со поздрави засновани на време и имињата на контактите.

Друг значаен аспект на SORVEPOTEL е дека тој користи IMAP конекции кон електронски сметки terra.com[.]br, употребувајќи вградено (hardcoded) корисничко име и лозинка за да се поврзе на е-пошта и да ги преземе командите, наместо да користи традиционална HTTP-базирана комуникација. Некои од овие сметки биле заштитени со повеќефакторска автентикација (MFA) за да се спречи неовластен пристап.

Се вели дека овој додаток на безбедносниот слој вовел оперативни задоцнувања, бидејќи секој влез бара од напаѓачот рачно да внесе еднократен код за автентикација за да пристапи до сандачето и да го зачува URL-то на C2 серверот што се користи за испраќање на командите. Потоа backdoor-от периодично ја прашува/проверува C2 серверот за да ги преземе инструкциите. Листата на поддржани команди е следна:

  • INFO — собира детални информации за системот
  • CMD — извршува команда преку cmd.exe и го извезува резултатот во привремена датотека
  • POWERSHELL — извршува PowerShell команда
  • SCREENSHOT — прави снимки на екранот
  • TASKLIST — набројува сите тековно извршувачки процеси
  • KILL — прекинува одреден процес
  • LIST_FILES — набројува датотеки/папки
  • DOWNLOAD_FILE — презема датотеки од инфицираниот систем
  • UPLOAD_FILE — качува датотеки на инфицираниот систем
  • DELETE — брише одредени датотеки/папки
  • RENAME — го менува името на датотеки/папки
  • COPY — копира датотеки/папки
  • MOVE — преместува датотеки/папки
  • FILE_INFO — добива детални метаподатоци за датотека
  • SEARCH — рекурсивно пребарува датотеки кои одговараат на зададени шаблони
  • CREATE_FOLDER — креира папки
  • REBOOT — иницира рестарт на системот со задоцнување од 30 секунди
  • SHUTDOWN — иницира исклучување на системот со задоцнување од 30 секунди
  • UPDATE — презема и инсталира ажурирана верзија од себе
  • CHECK_EMAIL — проверува нападнатата/контролирана е-пошта за нови C2 URL-а

Широката природа на кампањата е поттикната од популарноста на WhatsApp во Бразил, кој има над 148 милиони активни корисници, што го прави втор најголем пазар во светот по Индија.

„Методите на инфицирање и тековната тактичка еволуција, заедно со таргетирањето фокусирано на регионот, укажуваат дека Water Saci веројатно е поврзан со Coyote, и двете кампањи оперираат во истот бразилски сајберкриминален екосистем,“ изјави Trend Micro, опишувајќи ги напаѓачите како агресивни „по количина и квалитет.“

„Поврзувањето на кампањата Water Saci со Coyote открива поголема слика која покажува значителен премин во методите на распространување на банкарскиот тројан. Напаѓачите се преселиле од потпирање на традиционални пейлоади кон експлоатација на легитимни прелистувачки профили и платформи за пораки за стилизирани, скалабилни напади.“

Извори:

  • The Hacker News – WhatsApp Malware ‘Maverick’ Hijacks Browser Sessions to Target Brazil’s Biggest Banks The Hacker News