В Бразилии зафиксирована масштабная кампания по распространению нового банковского троянца под названием Maverick, использующего мессенджер WhatsApp для проникновения на устройства жертв. По данным исследователей, злоумышленники рассылают ZIP-архивы с вредоносными файлами формата LNK, которые не блокируются платформой. Троянец демонстрирует значительное сходство с ранее известным семейством Coyote, но обладает уникальными чертами, включая сложную файловую цепочку заражения и функции автоматизации через WhatsApp Web.
Описание
Кампания ориентирована исключительно на пользователей из Бразилии. Для проверки локации Maverick анализирует часовой пояс, язык системы, региональные настройки и формат даты. Если машина не соответствует критериям, вредоносная программа прекращает установку. По предварительным оценкам, только за первые десять октября было заблокировано более 62 тысяч попыток заражения через поддельные LNK-файлы.
Основной вектор атаки начинается с получения жертвой сообщения в WhatsApp, содержащего ZIP-архив. Внутри находится LNK-файл, который при открытии запускает скрипт PowerShell, связывающийся с командным сервером (C2). Для усложнения детектирования сервер проверяет заголовок User-Agent, отклоняя запросы от стандартных инструментов вроде wget.
Загрузчик использует сложные методы обфускации, включая уплощение управляющих конструкций и случайные имена методов. Его задача - загрузить два зашифрованных шелл-кода, упакованных с помощью инструмента Donut. Расшифровка происходит посредством XOR-алгоритма, где ключ хранится в конце бинарного файла.
Один из шелл-кодов отвечает за модуль распространения через WhatsApp. Он внедряет в процесс библиотеку WPPConnect - открытый проект для автоматизации работы с WhatsApp Web. Это позволяет троянцу рассылать сообщения контактам жертвы, способствуя вирусному распространению. Другой шелл-код запускает основной модуль Maverick Banker, который регистрирует автозагрузку через BAT-файл в папке Startup.
Банковский троянец обладает широким набором функций: съемка скриншотов, логирование нажатий клавиш, удаленное управление мышью, блокировка экрана при посещении банковских сайтов, подмена страниц фишинговыми окнами. Maverick отслеживает активность в браузерах Chrome, Firefox, Edge, Brave, Internet Explorer и специализированных банковских приложениях. При обнаружении доступа к одному из 26 банков, шести криптобирж или платежной системы троянец загружает дополнительный модуль Maverick Agent.
Агент выполняет расширенные операции, включая проверку локации по четырем параметрам: корректность часового пояса Бразилии, язык интерфейса, региональные настройки и формат даты. Для связи с C2 используется библиотека WatsonTCP с SSL-туннелированием и локальным сертификатом X509, защищенным паролем. Аутентификация на сервере происходит по уникальному паролю, после чего оператор получает доступ к командам управления.
Среди ключевых команд: перезагрузка системы, захват скриншотов, активация клавиатурного шпиона, удаленное управление интерфейсом, блокировка экрана с выводом фишинговой формы. Информация о жертве передается в виде хеша MAC-адресов, имени пользователя, версии ОИ, данных о мониторах и разрешении экрана.
Исследователи отмечают, что Maverick имеет значительные кодоновые пересечения с троянцем Coyote, задокументированным в начале 2024 года. Однако архитектура агента и методы доставки существенно отличаются. Вероятно, разработчики Coyote провели рефакторинг и создали новое семейство, усилив его комплексными механизмами обфускации и распространения.
Особую озабоченность вызывает использование искусственного интеллекта в процессе написания кода, в частности для разработки алгоритмов дешифровки сертификатов. Это может указывать на тенденцию к автоматизации создания вредоносных программ.
Эксперты подчеркивают, что хотя все известные случаи заражения ограничены Бразилией, троянец обладает потенциалом для распространения в другие регионы благодаря механизму спам-рассылок через взломанные аккаунты WhatsApp. Рекомендуется проявлять осторожность при получении подозрительных архивов, особенно с инструкциями по их открытию, и использовать решения для защиты конечных точек с функциями поведенческого анализа.
Индикаторы компрометации
IPv4
- 181.41.201.184
- 77.111.101.169
Domains
- casadecampoamazonas.com
- sorvetenopote.com