Malware que ataca brasileiros via WhatsApp Web, na verdade, faz parte de uma família

12 nov Malware que ataca brasileiros via WhatsApp Web, na verdade, faz parte de uma família

Posted at 16:30h in Tech-Pt-br by

O Maverick, malware que se espalha via WhatsApp e é capaz de roubar dinheiro de contas bancárias, pode ter uma grande família – outros vírus muito conhecidos e ativos no Brasil, incluindo o Coyote.

O Maverick foi documentado pela primeira vez pela Trend Micro no início do mês passado, atribuindo-o a um ator de ameaça chamado Water Saci. A campanha usava dois componentes principais: um malware que se propagava sozinho via WhatsApp Web, chamado SORVEPOTEL, e um arquivo ZIP que continha o payload Maverick.

O pacote era projetado para espionar abas do navegador ativas e buscar URLs que constavam em uma lista codificada de instituições financeiras populares na América Latina, com foco em brasileiros.

Quando encontrava essas URLs, o malware fazia contato com um servidor remoto para buscar comandos subsequentes, que coletavam informações do sistema e mostravam páginas de phishing para roubar credenciais.

Nas primeiras investigações, algumas empresas de cibersegurança já apontavam semelhanças e uma possível relação entre Maverick e Coyote. Isso porque ambos atuam de forma parecida. Por exemplo, ambos se espalham via WhatsApp, as cadeias de ataque dos dois começam a partir de um arquivo LNK gerando powershell para um ataque multi-estágio – basicamente, o powershell monta o malware como um Lego, juntando todas as pecinhas na surdina.

Além disso, ambos são construídos com código de rotina de monitoramento de aplicação bancária, visam as mesmas vítimas e são escritos em .NET.

Como a infecção acontece na prática

A CyberProof identificou vários incidentes relacionados ao Maverick e conseguiu destrinchar como o ataque funciona passo a passo. Tudo começa de forma bem inocente: você recebe um arquivo ZIP pelo WhatsApp com um nome que parece legítimo, tipo “NEW-20251001_152441-PED_561BCF01.zip”. Nada de muito suspeito, certo?

Mas quando você abre esse arquivo, a coisa fica séria. Dentro tem um atalho do Windows (arquivo LNK) que, ao ser clicado, parece que vai abrir um documento qualquer. Só que não. O atalho na verdade executa uma série de comandos escondidos que começam toda a cadeia de infecção.

O que acontece por trás das cortinas é digno de filme de espionagem. O atalho usa uma técnica bem elaborada de ofuscação – basicamente, ele embaralha o código malicioso usando tokens divididos e Base64 (um tipo de codificação) para que antivírus não consigam identificar facilmente o que está rolando.

Os criminosos usam vários loops “for” no comando para construir o código malicioso peça por peça, como se estivessem montando um quebra-cabeça. Por exemplo, eles pegam pedaços como “pow” + “er” + “shel” + “l.e” + “xe” e, quando juntam tudo, forma “powershell.exe”. Inteligente e assustador ao mesmo tempo.

O PowerShell entra em ação

Uma vez que o PowerShell é acionado – sempre de forma invisível, sem você ver janela nenhuma – ele se conecta a servidores controlados pelos criminosos. No caso analisado pela CyberProof, o servidor era o zapgrande.com. O PowerShell então baixa o próximo estágio do ataque: um script que vai desabilitar suas defesas.

E aqui a coisa fica preocupante de verdade. Esse script é programado para desligar o Windows Defender (o antivírus do Windows) e desabilitar o UAC (aquela janelinha chata que pergunta “tem certeza que quer fazer isso?”). Basicamente, o malware tira seus seguranças da porta antes de entrar pra roubar.

Depois de derrubar as defesas, o PowerShell baixa um “loader” – um tipo de instalador malicioso feito em .NET. Esse loader é esperto: antes de continuar, ele verifica se tem ferramentas de análise ou engenharia reversa rodando no computador. Se detectar alguma, ele se auto-destrói para não ser analisado. Se o caminho estiver livre, ele segue em frente.

Verificação de nacionalidade e instalação

Aqui vem uma característica interessante (e meio bizarra): o Maverick só continua a infecção se você for brasileiro. O malware verifica o fuso horário do seu computador, o idioma do sistema, a região configurada e até o formato de data e hora. Se qualquer coisa indicar que você não está no Brasil, o vírus simplesmente desiste e se auto-destrói.

Isso mostra que os criminosos são bem focados – eles querem especificamente usuários brasileiros e instituições financeiras do Brasil. Não é um ataque aleatório global, é uma operação direcionada.

Se você passar no “teste de brasilidade”, o loader baixa os dois módulos principais do ataque: o SORVEPOTEL (responsável por sequestrar seu WhatsApp Web) e o Maverick propriamente dito (o ladrão de bancos). E aí sim o estrago começa de verdade.

Persistência: o malware garante que vai continuar ali

Para garantir que não seja removido facilmente, o Maverick cria um arquivo batch (um script de comandos do Windows) na pasta de inicialização do sistema. O nome do arquivo segue um padrão: “HealthApp-” seguido de um código único (GUID) e a extensão “.bat”.

Isso significa que toda vez que você ligar o computador, esse arquivo é executado automaticamente. E o que ele faz? Estabelece conexão com outro servidor dos criminosos (sorvetenopote.com) para baixar atualizações ou receber novos comandos. É como se o malware tivesse instalado um “telefone direto” com os criminosos que nunca desliga.

Monitoramento bancário: o coração do ataque

Agora vem a parte mais perigosa. O Maverick fica de olho nos processos do seu computador, especialmente os navegadores. Ele verifica constantemente se você está usando Chrome, Edge, Firefox, Opera, Brave ou outros navegadores populares.

Quando detecta que você abriu um navegador, o malware começa a monitorar as URLs que você visita. E aqui está o pulo do gato: ele tem uma lista enorme de mais de 60 sites de bancos e instituições financeiras brasileiras codificada dentro dele. A lista inclui praticamente todos os grandes bancos – Bradesco, Banco do Brasil, Itaú, Santander, Caixa, Nubank (via Nubank), além de corretoras de criptomoedas como Binance, Mercado Bitcoin e Foxbit.

Os pesquisadores da CyberProof notaram que tanto o Maverick quanto o Coyote usam o mesmo método de criptografia para armazenar essa lista de sites: AES combinado com GZIP. Quando o malware precisa verificar se você está num site bancário, ele descriptografa essa lista e compara com a URL que você está acessando. É mais uma evidência forte de que estamos lidando com a mesma família de malware ou, no mínimo, com os mesmos desenvolvedores.

Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.