Campanha de Malware Maverick no Brasil
A Kaspersky detectou uma campanha significativa no Brasil, com mais de 62 mil tentativas de infecção do trojan bancário conhecido como Maverick apenas nos primeiros dez dias de outubro. O malware é disseminado por meio do WhatsApp e utiliza técnicas avançadas de ocultação e automação para se propagar automaticamente entre os contatos da vítima, sugerindo uma possível relação com o trojan anterior, Coyote.
Estratégia e vetor de ataque
A propagação do Maverick começa com mensagens no WhatsApp que contêm um arquivo compactado (.zip) com um atalho (.LNK) malicioso. Ao ser executado, o trojan verifica se o sistema está configurado para o Brasil, analisando fuso horário, idioma e formato de data/hora, prosseguindo com a infecção apenas se todas as condições forem atendidas.
A infecção ocorre quase que totalmente em memória, utilizando PowerShell, .NET e shellcodes criptografados, evitando a gravação de arquivos no disco e dificultando a detecção por soluções de segurança convencionais.
Funcionalidades e alcance da infecção
Uma vez ativo, o Maverick monitora acessos a 26 bancos brasileiros e 6 corretoras de criptomoedas, ativando módulos para roubo de credenciais e captura de tela. Além disso, instala keyloggers, bloqueia processos do sistema e pode exibir janelas de phishing relacionadas a serviços financeiros.
Um aspecto alarmante é sua capacidade de usar o WhatsApp da vítima para se espalhar automaticamente, enviando mensagens maliciosas para todos os contatos, o que amplia significativamente seu alcance.
Similaridades e hipótese de vínculo com Coyote
A Kaspersky observou que o Maverick compartilha características com o trojan Coyote, como o uso de AES-256 para ocultar alvos bancários e semelhanças em rotinas de criptografia. Essas similaridades levantam a hipótese de que o Maverick pode ser uma evolução ou uma ramificação do Coyote, desenvolvida pelos mesmos criadores, com melhorias na sofisticação da ameaça.
Escala do ataque e impacto
As tentativas de infecção superaram 62 mil registros apenas nos primeiros dez dias de outubro no Brasil. Embora as vítimas identificadas estejam localizadas no país, o trojan foi projetado para se propagar geograficamente, caso consiga infectar usuários de outras regiões.
O risco é elevado em ambientes corporativos onde as estações de trabalho não estão adequadamente protegidas, e o uso do WhatsApp como vetor de ataque torna a ameaça ainda mais difícil de conter.
Recomendações e meios de defesa
Para reduzir a exposição ao Maverick e a trojans semelhantes, especialistas recomendam:
- Desconfiança ativa: desconfie de arquivos compactados recebidos via WhatsApp, mesmo de contatos conhecidos.
- Nunca execute atalhos (.LNK): verifique sempre o conteúdo e a origem antes de executar.
- Soluções de segurança avançadas: utilize softwares que detectem ameaças em execução na memória.
- Educação continuada: promova campanhas de conscientização sobre engenharia social.
- Monitoramento de anomalias: observe comportamentos estranhos e tráfego inesperado em ambientes corporativos.
Contexto e implicações para líderes de TI
No Brasil, o Maverick representa uma evolução nas ameaças à segurança bancária digital, destacando a crescente sofisticação dos ataques e a convergência entre mensageria e fraudes financeiras. Para líderes de TI, é crucial reforçar as defesas em múltiplas camadas, integrar sistemas de detecção comportamental e investir em governança de segurança.
Embora o Maverick ainda esteja restrito ao Brasil, sua arquitetura modular sugere um potencial para expansão futura, alertando sobre a necessidade de uma resposta rápida e eficaz no cenário de segurança bancária digital.
Fonte por: Its Show