Il malware Maverick rappresenta una nuova e pericolosa minaccia informatica che si sta rapidamente diffondendo in Brasile tramite WhatsApp Web, prendendo di mira i principali istituti bancari del paese. Gli esperti di sicurezza hanno evidenziato come Maverick condivida molte caratteristiche con il trojan bancario Coyote, tra cui la scrittura in .NET, la focalizzazione su utenti e banche brasiliane e la capacità di propagarsi attraverso la piattaforma di messaggistica WhatsApp.

La campagna malevola e le tecniche di infezione

La campagna malevola si sviluppa in modo sofisticato. Maverick viene distribuito tramite file ZIP che includono un collegamento Windows (LNK): una volta attivato dall’utente, questo lancia uno script PowerShell che contatta un server remoto per scaricare ulteriori componenti dannosi. Il malware utilizza tecniche di anti-analisi per evitare il rilevamento dagli strumenti di sicurezza, disattiva Microsoft Defender e UAC, e procede solo se rileva che la vittima si trova effettivamente in Brasile, controllando fuso orario, lingua e altre impostazioni locali.

Funzionalità di monitoraggio e furto delle credenziali

Uno degli aspetti più allarmanti è la capacità di Maverick di monitorare le schede del browser alla ricerca di URL relativi a banche dell’America Latina. Se viene rilevato un accesso a una banca bersaglio, il malware avvia la comunicazione con un server di comando e controllo per ricevere istruzioni aggiuntive, raccolta di informazioni di sistema e l’attivazione di pagine di phishing per il furto delle credenziali bancarie.

Diffusione tramite WhatsApp Web e automazione

La diffusione attraverso WhatsApp Web avviene in modo automatizzato grazie all’uso di strumenti come ChromeDriver e Selenium, che consentono al malware di prendere il controllo della sessione del browser, accedere ai dati del profilo utente e inviare file infetti a tutti i contatti della vittima. In questo modo Maverick si comporta come un vero e proprio worm, sfruttando la fiducia tra contatti per massimizzare la sua diffusione.

Comando, controllo e capacità avanzate

Il sistema di comando e controllo di Maverick è particolarmente avanzato, permettendo ai cybercriminali di monitorare, mettere in pausa o riattivare la campagna in tempo reale, trasformando i dispositivi compromessi in nodi di una botnet coordinata. Oltre alla raccolta di informazioni e al furto di credenziali, il malware può eseguire comandi remoti, scaricare o caricare file, scattare screenshot, eseguire ricerche di file e persino riavviare o spegnere il dispositivo infetto.

Impatto e contesto in Brasile

La popolarità di WhatsApp in Brasile, con oltre 148 milioni di utenti attivi, rende il paese un bersaglio privilegiato per questo tipo di attacchi. L’evoluzione tattica e la capacità di propagarsi tramite piattaforme di messaggistica rappresentano un significativo passo avanti nelle tecniche dei trojan bancari.