WhatsApp в подчинении у банковских хакеров — вирус Maverick крадет сессии браузера, заражает всех ваших друзей и опустошает счета

Исследователи выявили связь между известным банковским трояном Coyote и недавно обнаруженным вредоносом Maverick, распространявшимся через WhatsApp. Аналитики отмечают совпадения в используемой платформе .NET, функциональности и механизмах заражения — всё это указывает на общее происхождение и принадлежность к единой киберпреступной среде, действующей в Бразилии.

Впервые о Maverick сообщила компания Trend Micro: исследователи связали его с группировкой Water Saci. Кампания построена из двух компонентов. Первый — самораспространяющийся модуль SORVEPOTEL, передающийся через веб-версию мессенджера WhatsApp; второй — архив ZIP, содержащий основной исполняемый файл Maverick, который разворачивает вредоносную нагрузку на устройстве жертвы. Позднее Sophos и Лаборатория Касперского провели независимые анализы: Sophos предположила, что Maverick является развитием Coyote, а в Касперском подтвердили наличие совпадающих участков кода, но классифицировала его как отдельное семейство, ориентированное на массовые атаки против бразильских пользователей.

В отчёте CyberProof раскрыты новые технические детали цепочки заражения. Внутри ZIP-файла содержится ярлык Windows (LNK). При запуске он обращается к cmd.exe или PowerShell, чтобы загрузить первый этап с удалённого сервера — в публикации указан домен «zapgrande[.]com». Далее PowerShell-скрипт разворачивает промежуточные инструменты, отключает защиту Microsoft Defender и обходит контроль учётных записей (UAC), после чего загружает .NET-загрузчик. Тот проверяет наличие инструментов анализа и завершает работу при обнаружении отладчиков, а затем скачивает основные компоненты — SORVEPOTEL и Maverick.

Примечательной особенностью является механизм географической фильтрации: установка Maverick выполняется только после подтверждения, что заражённая система находится в Бразилии. Для этого вредонос проверяет часовой пояс, язык интерфейса, региональные параметры и формат даты. CyberProof также зафиксировал случаи, когда та же инфраструктура использовалась для атак на гостиницы — вероятно, это расширение целевой аудитории кампании.

В рамках обновлённой тактики Water Saci, подробно описанной Trend Micro, хакеры отказались от .NET-бинарников в пользу комбинации VBScript и PowerShell. Этот набор позволяет перехватывать сессии WhatsApp Web и рассылать заражённые ZIP-архивы по списку контактов жертвы. Для автоматизации браузера злоумышленники загружают ChromeDriver и используют Selenium, что даёт возможность имитировать действия пользователя, управлять профилями и отправлять сообщения.

Типичная схема компрометации начинается с распаковки ZIP-архива, внутри которого находится обфусцированный VBS-загрузчик «Orcamento.vbs» (он же SORVEPOTEL). Этот VBScript выполняет PowerShell-команду, загружающую и запускающую скрипт «tadeu.ps1» напрямую в оперативной памяти. Далее сценарий изменяет профиль браузера Chrome: завершает активные процессы, копирует из пользовательского каталога куки, токены авторизации и сохранённые сессии во временное хранилище. Благодаря этому вредонос получает доступ к WhatsApp Web без повторного сканирования QR-кода.

Контроль над сессией позволяет скрипту рассылать заражённые архивы всем контактам и параллельно получать с управляющего сервера шаблоны сообщений. Для маскировки отображается поддельное окно с надписью «WhatsApp Automation v6.0», создающее иллюзию легитимного процесса. При рассылке PowerShell проходит по каждому контакту, вставляя в шаблон имя получателя и приветствие по времени суток; перед отправкой проверяется наличие сигнала «пауза» для динамического управления активностью.

Канал связи в SORVEPOTEL реализован необычно: вместо стандартного HTTP используется протокол IMAP. Бэкдор подключается к почтовому ящику на terra.com[.]br с заранее прописанными учётными данными и считывает команды из входящих писем. Некоторые аккаунты защищены многофакторной аутентификацией (MFA), поэтому операторы вынуждены вручную вводить одноразовые коды для входа. Это замедляет операции, но обеспечивает скрытность. После получения нового URL управляющего сервера вредонос регулярно опрашивает его и выполняет полученные инструкции.

Перечень поддерживаемых команд охватывает весь набор функций постэксплуатации: сбор сведений о системе (INFO), выполнение команд через cmd.exe (CMD) или PowerShell (POWERSHELL), создание снимков экрана (SCREENSHOT), просмотр списка процессов (TASKLIST), завершение заданных задач (KILL), а также работу с файлами и каталогами (LIST_FILES, DOWNLOAD_FILE, UPLOAD_FILE, DELETE, RENAME, COPY, MOVE, FILE_INFO, SEARCH, CREATE_FOLDER). Дополнительно предусмотрены функции перезагрузки (REBOOT), выключения (SHUTDOWN), обновления самого вредоноса (UPDATE) и проверка почтового ящика на новые адреса C2 (CHECK_EMAIL).

Отдельного внимания заслуживает система управления и устойчивости: новая схема использует мультивекторное закрепление в системе и распределённую инфраструктуру C2. Это позволяет операторам приостанавливать и возобновлять кампанию, отслеживать состояние заражённых устройств и управлять ими как элементами ботнета. По данным Trend Micro, программа выполняется только на устройствах, настроенных на португальский язык и регион, чтобы снизить риск обнаружения за пределами целевой зоны.

Значимость угрозы для Бразилии очевидна: WhatsApp остаётся одной из главных платформ коммуникации в стране, насчитывая более 148 млн активных пользователей. Массовая рассылка архивов по контактным спискам делает кампанию чрезвычайно заразной и дешёвой в реализации, особенно учитывая использование украденных профилей браузеров для обхода проверки подлинности.

Советуют ужесточить контроль над поведением браузеров и системных скриптов: отслеживать несанкционированное копирование профилей, блокировать подозрительные вызовы PowerShell и VBScript, ограничивать выполнение сторонних сценариев при помощи AppLocker или WDAC и своевременно обновлять антивирусные базы. Также стоит контролировать активность почтовых ящиков terra.com[.]br и сетевые обращения к внешним доменам вроде «zapgrande[.]com». Пользователям рекомендуется не открывать ZIP-файлы из сообщений и обращать внимание на любые необычные всплывающие окна в браузере.

Сопоставление Coyote и Maverick демонстрирует эволюцию методов распространения банковских троянов: злоумышленники переходят от привычных загрузчиков к использованию легитимных профилей браузеров и мессенджеров, повышая скрытность и эффективность атак. Такой сдвиг требует от специалистов по защите адаптации средств мониторинга и автоматизации анализа, а также тесного взаимодействия между операторами инфраструктуры и вендорами.