Maverick : un trojan bancaire brésilien se propage via WhatsApp avec une chaîne d’infection fileless
Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect. La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA. ...