Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect.
La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA.
Pour la communication C2, Maverick emploie une authentification API HMAC256 (clé « MaverickZapBot2025SecretKey12345 ») et WatsonTCP au-dessus de SSL, avec un mot de passe de certificat « Maverick2025! ». L’obfuscation repose sur du Control Flow Flattening et le chiffrement AES‑256 avec compression gzip, identique à Coyote.
Le ciblage est strictement brésilien, avec des validations de victime basées sur le fuseau horaire (UTC‑5 à UTC‑2), la locale (pt‑BR), la région et le format de date (dd/MM/yyyy). Une fois implanté, le malware détourne des comptes WhatsApp pour se propager, surveille 26 banques brésiliennes, 6 plateformes d’échange de cryptomonnaies et 1 plateforme de paiement, et offre un contrôle distant complet.
Les capacités incluent le keylogging, le verrouillage d’écran, le phishing par superposition et le contrôle de bureau à distance. L’article constitue une publication de recherche détaillant une menace bancaire active, ses techniques d’infection et ses mécanismes de propagation.
• IOCs / artefacts observés
- Clé HMAC API C2: “MaverickZapBot2025SecretKey12345”
- Mot de passe de certificat SSL (C2): “Maverick2025!”
- Vecteur: archives ZIP avec fichiers LNK malveillants
• TTPs notables
- Initial access: fichiers LNK distribués via WhatsApp (social engineering)
- Exécution: chaîne multi‑étapes entièrement fileless (PowerShell, .NET, shellcode Donut)
- Défense évasion: obfuscation (Control Flow Flattening), payloads XOR, AES‑256 + gzip
- Command & Control: WatsonTCP sur SSL avec authentification HMAC256
- Validation de la victime: fuseau horaire, locale pt‑BR, région, format de date dd/MM/yyyy
- Propagation: détournement de comptes WhatsApp via WPPConnect
- Capacités: keylogging, verrouillage d’écran, overlay phishing, contrôle à distance
🔗 Source originale : https://securelist.com/maverick-banker-distributing-via-whatsapp/117715/