关键发现

• 通过WhatsApp分发ZIP文件传播新型巴西银行木马"Maverick"
• 利用开源项目WPPConnect在受感染账户中自动发送WhatsApp消息
• 与已知银行木马Coyote存在代码相似性但被视为新威胁
• 检查受害者时区、语言等设置确保目标位于巴西
• 具备屏幕截图、键盘记录、鼠标控制、进程终止等完整控制功能
• 监控26家巴西银行网站、6家加密货币交易所和1家支付平台
• 全部感染过程在内存中完成，磁盘活动极少
• 在代码编写过程中使用了AI技术

初始感染向量

感染链从受害者通过WhatsApp接收包含恶意LNK文件的ZIP压缩包开始。LNK文件经过编码执行cmd.exe，进而运行PowerShell脚本。C2服务器会验证HTTP请求的"User-Agent"字段，确保请求来自恶意软件本身。

初始.NET加载器

初始.NET加载器采用控制流平坦化和间接函数调用进行混淆，主要功能是从C2下载两个加密的shellcode。通信使用HMAC256算法生成API密钥，密钥为"MaverickZapBot2025SecretKey12345"。

WhatsApp感染器下载器

第二阶段解密Donut shellcode后加载另一个下载器，专门下载WhatsApp感染器。该模块使用WPPConnect开源项目和Selenium浏览器进行WhatsApp自动化，主要行为是定位浏览器中的WhatsApp窗口并向联系人发送恶意消息。

Maverick银行木马

Maverick Banker是活动的主要有效载荷，通过启动文件夹建立持久性。它会监控受害者机器上运行的浏览器（Chrome、Firefox、MS Edge等），检查是否访问目标银行网站。目标银行列表使用AES-256加密并存储为base64字符串。

Maverick代理

代理执行大部分银行木马功能，首先验证机器是否位于巴西：

• 检查时区是否在UTC-5到UTC-2范围内
• 检查语言环境是否为巴西葡萄牙语
• 检查系统区域设置是否为巴西
• 检查日期格式是否为巴西标准(dd/MM/yyyy)

C2通信

使用WatsonTCP库和SSL隧道进行通信，采用本地加密X509证书保护通信。重要命令包括：

• INFOCLIENT：返回代理信息
• SCREENSHOT：截屏并发送到C2
• KEYLOGGER：启用键盘记录
• GENERATEWINDOWLOCKED：使用银行主页锁定屏幕

结论

根据遥测数据，所有受害者均位于巴西。该威胁非常复杂精密，整个执行链相对新颖，最终有效载荷与Coyote银行木马存在许多代码重叠。其蠕虫式传播特性通过利用流行即时通讯工具实现指数级传播，影响巨大。