Ataque bancario a través de WhatsApp Web - Maverick
- Security Team
- 13 nov
- 3 Min. de lectura
Desde principios de octubre de 2025, ICS Labs ha identificado una campaña masiva de propagación de malware bancario llamado Maverick , con más de 62.000 ataques observados dirigidos a Brasil . La amenaza presenta características de ingeniería social avanzada, ejecución sin archivos y propagación automática a través de WhatsApp , afectando tanto a usuarios domésticos como a entornos corporativos.
Descripción general de la amenaza:
La infección comienza al recibir un mensaje en WhatsApp que contiene un archivo comprimido (.zip), disfrazado de comprobante de compra, factura o recibo.
Dentro del archivo hay un acceso directo de Windows (.lnk) que, al ejecutarse, llama a PowerShell con código Base64 ofuscado, responsable de descargar y ejecutar componentes adicionales directamente desde la memoria, sin escribir archivos maliciosos en el disco.
Maverick realiza una comprobación regional (zona horaria, idioma y formato de fecha) para asegurarse de que el objetivo se encuentra en Brasil y, a continuación, se replica en las carpetas de inicio del sistema, estableciendo persistencia y conexión con los servidores C2 (Comando y Control).
Desde allí, el malware monitoriza las actividades bancarias, además de capturar pulsaciones de teclas, capturas de pantalla e incluso datos confidenciales introducidos en sitios web y aplicaciones financieras.
Además de robar información directamente, Maverick también realiza:
Suplantación de identidad interna mediante páginas de inicio de sesión bancarias falsas;
Propagación automática a través de WhatsApp Web, enviando copias del malware a los contactos de la víctima;
Control remoto total del dispositivo comprometido, con la posibilidad de desplegar ladrones adicionales;
Puntos de atención identificados:
Ejecuciones sospechosas de PowerShell : eventos de bloques de script que contienen parámetros como -EncodedCommand, -WindowStyle hidden, -nop, -w hidden.
Creación de procesos anómalos : ejecución de powershell.exe desde archivos .lnk extraídos de un archivo .zip.
Actividad en memoria : procesos persistentes sin un binario correspondiente en el disco.
Tráfico de red inusual : conexiones HTTPS a dominios recién registrados, C2 con el patrón User-Agent .NET WebClient y posibles solicitudes a direcciones IP directas.
Comportamiento en las aplicaciones de mensajería : mensajes automatizados o envío de archivos ZIP no reconocidos por el usuario.
Acciones recomendadas:
Bloqueo preventivo : agregue los dominios y las direcciones IP asociadas con la campaña Maverick a los firewalls, proxies y filtros DNS.
Contención de hosts comprometidos : Aísle las máquinas sospechosas y realice una recopilación de memoria antes de reiniciar para preservar los artefactos de ejecución en la memoria.
Alerta inmediata : avisar a los empleados sobre la estafa, haciendo hincapié en el riesgo de abrir archivos adjuntos .zip o enlaces .lnk recibidos a través de WhatsApp.
Medidas de fortalecimiento y prevención :
Control de ejecución : Aplique AppLocker o el Control de aplicaciones de Windows Defender (WDAC) para bloquear scripts no firmados.
Monitoreo continuo : cree alertas específicas para conexiones a dominios recién creados, PowerShell oculto y procesos iniciados a través de accesos directos .lnk.
Actualizaciones de seguridad : mantenga actualizados Windows, los navegadores y el software antivirus; habilite la protección de la reputación y el análisis del comportamiento en memoria.
IOCs:
INDICADORES | TIPO |
casadecampoamazonas[.]com | Domínio |
sorvetenopote[.]com | Domínio |
181[.]41[.]201[.]184 | IP |
181[.]41[.]201[.]184 | IP |
https[://]zapgrande[.]com/api/v1/19230d53a96d4facbead047f645e02b8 | URL |
https[://]zapgrande[.]com/api/v1/252d6ed3bb6d49228181a1: | URL |
Últimas actualizaciones:
29 de septiembre de 2025: Según la investigación de Sophos , esta fecha marca el inicio de la campaña maliciosa;
3 de octubre de 2025: Alerta de TrendMicro que describe los detalles técnicos del script de PowerShell utilizado;
10 de octubre de 2025: Sophos publica investigaciones y recomendaciones sobre cómo detectar y responder a la amenaza;
15 de octubre de 2025: Divulgación técnica detallada de Kaspersky , que documenta la cadena de ejecución de la amenaza;
Finales de octubre de 2025: Cobertura de medios no especializados y asesoramiento para bancos y empresas;
Noviembre de 2025: Análisis adicional de The Hacker News y seguimiento de variantes, según informa Cyber Press.
Comentarios