▲
- O malware Maverick se espalha pelo WhatsApp Web e rouba dinheiro de contas bancárias no Brasil.
- Você deve ter cuidado ao abrir arquivos suspeitos recebidos via WhatsApp para evitar infecção.
- O ataque é direcionado e eficaz, monitorando navegadores para roubar dados financeiros dos usuários.
- O malware cria conexões contínuas com servidores criminosos, garantindo persistência e atualizações.
Um novo tipo de malware chamado Maverick, que consegue se espalhar pelo WhatsApp e roubar dinheiro de contas bancárias, pode ser parte de uma família maior de vírus. Essa família inclui outros programas maliciosos bem conhecidos e ativos no Brasil, como o Coyote. As semelhanças entre eles sugerem uma ligação forte.
O Maverick foi identificado pela primeira vez no mês passado pela empresa Trend Micro, que ligou a ameaça a um grupo chamado Water Saci. A campanha de ataque usava duas ferramentas principais: um malware que se espalhava sozinho pelo WhatsApp Web, conhecido como SORVEPOTEL, e um arquivo ZIP que carregava o Maverick. Esse pacote foi feito para espiar as abas ativas do navegador. Ele procurava por endereços de sites que estavam em uma lista de instituições financeiras populares na América Latina, com foco em usuários brasileiros.
Quando encontrava essas páginas, o malware se conectava a um servidor remoto para receber mais comandos. Esses comandos serviam para coletar informações do sistema do usuário e exibir páginas falsas, as famosas páginas de phishing. O objetivo era roubar os dados de acesso, como senhas e nomes de usuário, para acessar as contas bancárias das vítimas.
Desde o início das investigações, algumas empresas de cibersegurança já indicavam que o Maverick e o Coyote tinham muitas coisas em comum. Isso levantou a suspeita de que eles poderiam estar relacionados. Por exemplo, os dois vírus se espalham pelo WhatsApp e usam a mesma estratégia de ataque. A infecção começa com um arquivo LNK que gera um comando PowerShell, que funciona como um quebra-cabeça, montando o malware em várias etapas, tudo sem que a vítima perceba.
Além disso, ambos os programas maliciosos são desenvolvidos com códigos específicos para monitorar aplicação bancária, atacam os mesmos tipos de vítimas e são escritos na linguagem de programação .NET. Essas características reforçam a ideia de que há uma conexão entre eles, talvez até os mesmos desenvolvedores por trás de ambas as ameaças digitais.
Leia também:
Como a infecção acontece na prática
A equipe da CyberProof investigou vários casos envolvendo o Maverick e conseguiu detalhar como todo o ataque funciona. Tudo começa de um jeito que parece inofensivo: você recebe um arquivo ZIP pelo WhatsApp com um nome que, à primeira vista, parece ser algo normal e legítimo. Um exemplo seria “NEW-20251001152441-PED561BCF01.zip”, algo que não levanta muitas suspeitas para quem não está esperando um ataque.
O problema aparece quando você decide abrir esse arquivo. Dentro dele, há um atalho do Windows, um arquivo .LNK, que se parece com um documento comum. Mas, ao clicar nele, em vez de abrir um arquivo qualquer, ele executa uma série de comandos escondidos. Esses comandos são os que dão início a toda a sequência de infecção do seu computador. É o primeiro passo para o vírus assumir o controle.
O que se desenrola nos bastidores é bem complicado e quase como um filme de espionagem digital. O atalho usa uma técnica chamada ofuscação, que embaralha o código malicioso. Ele faz isso usando pedaços de informações e a codificação Base64, tornando difícil para os programas antivírus reconhecerem o que está acontecendo e impedirem a ação do vírus.
Os cibercriminosos aproveitam comandos de repetição, como múltiplos laços “for”, para construir o código do malware em pedaços. Imagine que eles estão montando um quebra-cabeça digital. Por exemplo, eles juntam partes como “pow” + “er” + “shel” + “l.e” + “xe” para formar “powershell.exe”. Essa estratégia é inteligente e preocupante, pois dificulta a detecção e a interrupção do ataque.
O PowerShell entra em ação
Assim que o PowerShell é ativado, e isso acontece de forma completamente invisível ao usuário, ele faz uma conexão com servidores que estão sob o controle dos criminosos. Nos casos analisados pela CyberProof, um desses servidores era o “zapgrande.com”. Desse servidor, o PowerShell baixa o próximo componente do ataque: um script desenvolvido para desativar as ferramentas de segurança do seu sistema.
É nesse ponto que a situação se torna realmente grave. Esse script é programado especificamente para desligar o Windows Defender, o antivírus padrão do Windows, e também para desabilitar o UAC (Controle de Conta de Usuário). O UAC é aquela notificação que geralmente pede sua confirmação antes de realizar ações importantes no computador. Ao desabilitar essas defesas, o malware remove os “guardas” antes de entrar para roubar seus dados.
Depois de desabilitar as proteções do sistema, o PowerShell baixa um “loader“, que é como um instalador malicioso, feito em .NET. Este loader é bastante esperto: ele primeiro verifica se existem ferramentas de análise ou de engenharia reversa ativas no seu computador. Se detectar qualquer uma dessas ferramentas, ele se autodestrói para evitar ser estudado e ter seu funcionamento descoberto.
Se o ambiente estiver “limpo” e não houver ferramentas de análise presentes, o loader continua com a instalação. Ele segue em frente para preparar a máquina para as próximas etapas do ataque, garantindo que o processo ocorra sem interrupções. Essa é uma tática para evitar que especialistas em segurança desvendem o seu funcionamento e criem defesas mais eficazes contra ele.
Ações do Maverick roubo de bancos: Foco no Brasil e Instalação
Uma das características mais notáveis, e um tanto peculiar, deste malware é a verificação de nacionalidade. O Maverick só avança com a infecção se a máquina da vítima estiver configurada para o Brasil. Ele faz uma série de verificações, incluindo o fuso horário, o idioma do sistema, a região configurada e até o formato de data e hora.
Se qualquer um desses itens indicar que o computador não está no Brasil, o vírus simplesmente para o processo e se autodestrói. Essa é uma prova clara de que os criminosos por trás do Maverick têm um alvo muito específico. Eles buscam exclusivamente usuários brasileiros e as instituições financeiras que operam aqui.
Esse comportamento mostra que não se trata de um ataque global e aleatório. Em vez disso, é uma operação bem direcionada e focada em um público específico. Isso permite que os criminosos otimizem seus esforços e recursos para atingir as vítimas mais relevantes para seus objetivos de roubo de dados bancários.
Se o seu computador passar no “teste de brasilidade”, o loader prossegue e baixa os dois módulos principais do ataque. O primeiro é o SORVEPOTEL, que tem a função de sequestrar seu WhatsApp Web. O segundo é o Maverick em si, que é o responsável direto pelo roubo de bancos. É neste ponto que o ataque realmente começa a causar danos.
Persistência do Malware: Garante o Acesso Contínuo
Para garantir que o Maverick não seja facilmente removido do sistema, ele adota uma estratégia de persistência. Ele cria um arquivo batch, que é um tipo de script de comandos do Windows, e o coloca na pasta de inicialização do sistema operacional. Isso garante que o malware seja executado sempre que o computador é ligado.
O nome desse arquivo segue um padrão específico: “HealthApp-” seguido por um código único (um GUID) e a extensão “.bat”. Essa nomenclatura disfarçada ajuda a confundir o usuário e as ferramentas de segurança, fazendo com que o arquivo pareça uma parte legítima do sistema ou um aplicativo de saúde.
Ao ser executado automaticamente, esse arquivo estabelece uma conexão com outro servidor controlado pelos criminosos, que no caso é o “sorvetenopote.com”. Essa conexão serve para baixar atualizações para o malware ou receber novos comandos. É como se o vírus instalasse uma linha direta com os atacantes, que nunca é desligada.
Dessa forma, os criminosos podem manter o controle sobre a máquina infectada e continuar a realizar suas ações maliciosas. Eles podem atualizar o malware com novas funcionalidades ou mudar as estratégias de ataque sem precisar de uma nova interação do usuário, aumentando a eficácia do roubo de dados e dinheiro.
Monitoramento Bancário Detalhado
A parte mais crítica e perigosa do ataque do Maverick é como ele monitora o computador. O malware fica constantemente de olho em todos os processos que estão rodando na máquina, com atenção especial aos navegadores de internet. Ele verifica se você está usando Chrome, Edge, Firefox, Opera, Brave ou qualquer outro navegador popular.
Quando detecta que um navegador foi aberto, o Maverick começa a acompanhar todas as URLs (endereços de sites) que você visita. O grande truque aqui é que ele possui uma lista extensa, com mais de 60 sites de bancos e instituições financeiras brasileiras, que está codificada dentro do seu próprio código. Essa lista inclui praticamente todos os grandes bancos do país, como Bradesco, Banco do Brasil, Itaú, Santander, Caixa e Nubank, além de corretoras de criptomoedas como Binance, Mercado Bitcoin e Foxbit.
Os pesquisadores da CyberProof observaram que tanto o Maverick quanto o Coyote utilizam o mesmo método de criptografia para guardar essa lista de sites: AES combinado com GZIP. Quando o malware precisa verificar se você está em um site bancário, ele descriptografa essa lista e a compara com o endereço da página que você está acessando. Essa similaridade no método de criptografia é mais uma forte evidência de que esses malwares podem pertencer à mesma “família” ou ter os mesmos criadores.
Essa técnica de monitoramento detalhado e a lista de alvos específicos permitem que o Maverick seja extremamente eficaz no roubo de credenciais e informações financeiras. Ele age de forma furtiva, esperando o momento certo para coletar os dados mais valiosos dos usuários, diretamente dos sites de seus bancos.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
