Ataque bancário por meio de Whatsapp Web - Maverick

O ICS Labs identificou, desde os primeiros dias de outubro de 2025, uma campanha massiva de disseminação de malware bancário denominada Maverick, com mais de 62 mil ataques observados, sendo direcionados ao Brasil. A ameaça apresenta características de engenharia social avançada, execução fileless e propagação automática via WhatsApp, afetando tanto usuários domésticos quanto ambientes corporativos.

Visão geral da ameaça:

A infecção se inicia com o recebimento de uma mensagem no WhatsApp contendo um arquivo compactado (.zip), disfarçado como comprovante, nota fiscal ou recibo.

Dentro do arquivo, há um atalho do Windows (.lnk) que, ao ser executado, chama o PowerShell com código ofuscado em Base64, responsável por baixar e executar componentes adicionais diretamente da memória, sem gravar arquivos maliciosos no disco.

O Maverick realiza uma verificação regional (fuso horário, idioma e formato de data) para garantir que o alvo esteja localizado no Brasil, e então se replica para as pastas de inicialização do sistema, estabelecendo persistência e conexão com servidores C2 (Command and Control).

A partir disso, o malware monitora atividades bancárias, além de capturar teclas digitadas, imagens de tela e até dados sensíveis inseridos em sites e aplicativos financeiros.

Além do roubo direto de informações, o Maverick também realiza:

• Phishing interno com páginas falsas de login bancário;

• Propagação automática via WhatsApp Web, enviando cópias do malware a contatos da vítima;

• Controle remoto completo do dispositivo comprometido, com potencial para implantação de stealers adicionais;

Pontos de Atenção Identificados:

• Execuções PowerShell suspeitas: eventos de script block contendo parâmetros como -EncodedCommand, -WindowStyle hidden, -nop, -w hidden.

• Criação de processos anômalos: execução de powershell.exe a partir de arquivos .lnk extraídos de .zip.

• Atividade em memória: processos persistentes sem binário correspondente no disco.

• Tráfego de rede incomum: conexões HTTPS a domínios recém-registrados, C2 com padrão de User-Agent do .NET WebClient e possíveis requisições para endereços IP diretos.

• Comportamento em aplicativos de mensagens: mensagens automáticas ou envio de arquivos ZIP não reconhecidos pelo usuário.

Ações de recomendação:

• Bloqueio preventivo: inserir os domínios e IPs associados à campanha Maverick em firewalls, proxies e filtros de DNS.

• Conter hosts comprometidos: isolar máquinas suspeitas e realizar coleta de memória antes de reinicializar para preservar artefatos de execução em memória.

• Conscientização imediata: alertar colaboradores sobre o golpe, enfatizando o risco de abrir anexos .zip ou atalhos .lnk recebidos por WhatsApp.

Medidas de fortalecimento e Prevenção:

• Controle de execução: aplicar AppLocker ou Windows Defender Application Control (WDAC) para bloquear scripts não assinados.

• Monitoramento contínuo: criar alertas específicos para conexões com domínios recém-criados, PowerShell oculto, e processos iniciados via atalhos .lnk.

• Atualizações de segurança: manter Windows, navegadores e antivírus atualizados; ativar proteção de reputação e varredura comportamental em memória.

IOCs:

Últimas atualizações:

• 29 de setembro, 2025: Segundo a investigação da Sophos, essa data marca o início da campanha maliciosa;

• 3 de outubro, 2025: Alerta da TrendMicro descrevendo detalhes técnicos do script PowerShell utilizado;

• 10 de outubro, 2025: Sophos publica investigação e recomendações sobre como detectar e responder à ameaça;

• 15 de outubro, 2025: Divulgação técnica aprofundada da Kaspersky, documentando a cadeia de execução da ameaça;

• Fim de outubro, 2025: Cobertura da mídia não especializada e aconselhamento para bancos e empresas;

• Novembro, 2025: Análise complementar do The Hacker News e rastreamento de variantes, relatado pelo Cyber Press.