警惕WhatsApp传播的银行木马:Maverick恶意软件与Coyote的关联分析

网络安全研究人员发现通过WhatsApp传播的Maverick恶意软件与巴西银行木马Coyote存在强关联,两者共享.NET开发框架、目标巴西用户和银行系统,并采用相同代码进行URL监控和凭证窃取。

Maverick恶意软件活动扩展:通过WhatsApp传播的银行木马与Coyote相关联

概述

网络安全研究人员发现Maverick(一种通过WhatsApp传播的新恶意软件)与Coyote(一种臭名昭著的巴西银行木马)之间存在强烈相似性,表明两者属于同一不断演变的威胁生态系统。

来自CyberProof、Trend Micro和Sophos的研究结果显示,这两种木马具有以下共同特征:

  • 使用.NET开发
  • 针对巴西用户和银行
  • 采用几乎相同的URL监控和凭证窃取代码
  • 包含通过WhatsApp Web传播的功能

归因于名为Water Saci的威胁参与者的Maverick,代表了这一血统的高级进化版本——将凭证窃取和自我传播功能融合到一个完全自主的恶意软件-僵尸网络模型中。

Maverick活动的工作原理

该活动始于通过WhatsApp Web分享的恶意ZIP压缩包,其中包含一个Windows快捷方式(LNK),该快捷方式会启动PowerShell命令连接到攻击者的服务器zapgrande[.]com。

一旦执行,感染链按以下步骤展开:

  1. LNK文件执行:运行cmd.exe或PowerShell下载加载程序
  2. 防御规避:禁用Microsoft Defender防病毒和用户账户控制(UAC)
  3. 反分析:检查逆向工程工具;如果检测到则终止
  4. 有效载荷传递:下载两个模块——SORVEPOTEL(传播代理)和Maverick(银行恶意软件)
  5. 地理过滤:仅当主机的时区、语言和区域设置确认位于巴西时才安装Maverick

CyberProof还发现巴西酒店成为攻击目标的证据,表明Water Saci可能正在从银行机构扩展到酒店行业。

技术细节:SORVEPOTEL和Maverick

SORVEPOTEL模块既作为下载器又作为传播器,而Maverick处理凭证窃取、浏览器劫持和命令执行。

Maverick的功能包括:

  • 监控活动浏览器标签中拉丁美洲的银行URL
  • 显示虚假登录或钓鱼页面以收集凭证
  • 收集系统和浏览器数据(cookies、令牌、会话信息)
  • 从远程C2服务器执行命令进行侦察和持久化

Water Saci不断演变的攻击链

Trend Micro的最新研究表明,Water Saci已将其早期的.NET有效载荷替换为Visual Basic脚本(VBS)和基于PowerShell的加载程序,以提高隐蔽性和灵活性。

观察到的新Water Saci攻击链:

  • 通过ChromeDriver和Selenium自动化劫持WhatsApp Web会话
  • 使用受害者的浏览器配置文件数据向所有联系人发送包含恶意软件的ZIP文件,而不会触发安全警报

更新的攻击序列:

  1. 用户下载并解压恶意ZIP文件
  2. 包含的Orcamento.vbs下载器(SORVEPOTEL)运行并在内存中执行tadeu.ps1
  3. PowerShell脚本接管受害者的WhatsApp Web会话,向所有联系人发送ZIP文件
  4. 虚假的"WhatsApp Automation v6.0"横幅掩盖恶意活动
  5. 恶意软件复制受害者的Chrome配置文件数据,包括cookies和身份验证令牌,以实现无缝会话劫持

这种方法使攻击者能够立即访问受害者的WhatsApp账户,无需QR码或触发登录警告,从而实现快速、自动化的传播。

基于电子邮件的命令与控制(C2)

Water Saci框架中最不寻常的元素之一是其基于电子邮件的C2基础设施,使用IMAP连接到受多因素认证(MFA)保护的terra.com[.]br账户。

命令直接从攻击者控制的收件箱中检索,减少了可追踪性。

支持的C2命令包括:

  • 系统控制:REBOOT、SHUTDOWN、UPDATE
  • 文件操作:UPLOAD、DOWNLOAD、DELETE、MOVE、RENAME
  • 执行:CMD、POWERSHELL、SCREENSHOT、TASKLIST
  • 侦察:INFO、FILE_INFO、SEARCH
  • 持久化管理:CREATE_FOLDER、LIST_FILES、CHECK_EMAIL

这种模式允许手动、隐蔽的控制——操作员甚至手动输入MFA代码以维持访问权限。

为什么WhatsApp是完美载体

在巴西拥有1.48亿活跃用户的WhatsApp已深度融入个人和商业通信。

Water Saci通过以下方式利用这一点:

  • 利用对个人联系人的信任绕过网络钓鱼怀疑
  • 劫持合法会话以实现无摩擦的恶意软件传播
  • 提供高度本地化的葡萄牙语诱饵

Trend Micro指出,这种"受信任社交应用的武器化"标志着巴西网络犯罪策略的重大转变——从基于垃圾邮件的传播转向通过消息生态系统进行点对点感染。

Coyote关联确认

包括卡巴斯基、Sophos和CyberProof在内的多家安全公司确认,Maverick与Coyote(一种早期也在巴西传播的.NET银行木马)共享代码段、逻辑和传播功能。

虽然关于Maverick是重新命名的后继者还是独特变种的意见存在分歧,但共识很明确:两者属于同一巴西威胁生态系统,并且都表现出相同的金融机构目标定位。

Trend Micro表示:“将Water Saci活动与Coyote联系起来揭示了巴西银行恶意软件场景的重大演变。威胁参与者已从独立有效载荷转变为利用合法浏览器配置文件和消息应用进行隐蔽、可扩展的传播。”

防御指南

巴西和拉丁美洲的组织和个人应实施以下缓解措施:

  • 阻止和监控来自未经验证来源的ZIP、LNK、VBS和PowerShell下载
  • 限制使用浏览器自动化框架(Selenium、ChromeDriver)
  • 应用具有基于行为的脚本恶意软件检测的强大端点保护
  • 在支持的社交平台上使用MFA
  • 教育用户有关基于WhatsApp的社会工程和虚假"自动化"提示
  • 定期清除浏览器会话和cookies以降低劫持风险
  • 监控电子邮件系统中基于IMAP的命令流量或异常身份验证尝试
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次