Investigadores han identificado un nuevo troyano bancario llamado Maverick, que se está distribuyendo principalmente en Brasil utilizando WhatsApp como vector de entrega. La infección comienza con un archivo ZIP enviado por un contacto comprometido, y al ejecutarse un ataque (.LNK) en su interior, lanza una sofisticada cadena sin archivos que secuestra sesiones del navegador para robar credenciales bancarias y cometer fraudes. Maverick tiene conexiones técnicas con la familia de malware Coyote.
Maverick Banker: Secuestro de Sesiones Bancarias vía WhatsApp
Maverick es una amenaza de alta sofisticación que combina el abuso de la confianza social en WhatsApp con técnicas de evasión fileless para atacar a$approx 65$instituciones financieras latinoamericanas.
Cadena de Infección y Evasión
- Abuso de Confianza Social: El atacante utiliza cuentas de WhatsApp ya comprometidas para enviar un mensaje con un ZIP (disfrazado de recibo o documento). El remitente parece legítimo, lo que evade los filtros de phishing tradicionales y las defensas humanas básicas.
- Activación Fileless : La víctima ejecuta un archivo .LNK dentro del ZIP. El atajo invoca un script PowerShell que recupera el módulo .NET de la segunda etapa desde un servidor C2. La ejecución es mayormente en memoria ( in-memory ), utilizando ofuscación (ej., shellcode empaquetado con Donut), lo que dificulta la detección por AV tradicionales.
- Monitoreo Dirigido: El componente de segunda fase ( Maverick.StageTwo ) monitorea activamente las URL de los navegadores. Si detecta una coincidencia con una lista dura de$approx 65$bancos e instituciones financieras, carga el núcleo ( Maverick.Agent ) y espera instrucciones del C2.
- Secuestro de sesión: Una vez activado, el malware inyecta un agente que intercepta formularios, captura tokens de sesión y credenciales en la banca online.
- Autopropagación: Maverick abusa de herramientas de automatización de WhatsApp (p. ej., WPPConnect/WhatsApp Web) para enviar mensajes a los contactos de la víctima, replicando el vector original y expandiéndose de forma masiva.
- Selección geográfica: El instalador comprueba la zona horaria, el formato de fecha/hora y el lenguaje para asegurarse de que la víctima está en Brasil. Esto reduce el ruido y evita la detección internacional temprana.
Riesgo y escalabilidad
- Propagación Masiva: La automatización del envío desde la misma plataforma de mensajería (WhatsApp) convierte cada contacto comprometido en un multiplicador de riesgo, complicando la remediación.
- Industrialización Regional: La relación técnica con Coyote indica una “industrialización” del malware bancario regional, donde se reutilizan componentes probados y actualizados para eludir las detecciones.
Recomendaciones
- Higiene del Usuario y Prevención
- Verificación externa: No abrir archivos ZIP recibidos por WhatsApp, incluso si provienen de contactos. Validar la autenticidad del documento con la persona por un canal alternativo (ej., una llamada telefónica).
- Bloqueo de Ejecutables: Deshabilitar la ejecución automática de ataques (.LNK) y evitar ejecutar archivos descargados en máquinas de trabajo.
- MFA y Alertas: Activar MFA en servicios críticos (banca, correo) y usar alertas de inicio de sesión.
- Detección deFilelessy Comportamiento (SOC/EDR)
- Reglas EDR: Implementar reglas EDR robustas para detectar invocaciones sospechosas de PowerShell, cargas inusuales en procesos .NET y shellcode ejecutado en memoria (Donut).
- Monitoreo de WhatsApp Web: Monitorear el tráfico de WhatsApp Web desde las estaciones de trabajo, alertando por actividad de envío masivo o conexiones WebSocket inesperadas (indicador de uso de WPPConnect).
- Hunting de Artefactos: Buscar la presencia de archivos .LNK sospechosos y procesos PowerShell que descargan contenido desde dominios creados recientemente.
- Mitigación Estratégica
- Campañas de Concienciación: Lanzar campañas de concienciación específicas para empleados brasileños sobre el riesgo de ZIPs, atajos y la ejecución de comandos de PowerShell solicitados por mensajes inesperados.
- Segmentación: Restringir descargas desde navegadores en endpoints con acceso a datos financieros. Usar navegación en entornos aislados ( sandbox /VM) para abrir archivos adjuntos.
- Colaboración: Reportar cuentas comprometidas a WhatsApp/Meta y coordinar el bloqueo de cuentas abusadas y dominios maliciosos usados en la campaña.
