WhatsApp传播的银行木马Maverick与Coyote恶意软件活动关联分析

网络安全研究人员发现,一种通过WhatsApp传播的新型恶意软件Maverick与臭名昭著的巴西银行木马Coyote有密切联系。本文深入分析了该恶意软件的技术细节、传播链条、演变过程及其基于邮件的C2架构,并提供了防御建议。

概述

网络安全研究人员发现,一种新的通过WhatsApp传播的恶意软件变种Maverick,与臭名昭著的巴西银行木马Coyote之间存在极强的相似性,这表明两者属于同一个不断演变的威胁生态系统。

来自CyberProof、Trend Micro和Sophos的研究结果表明,这两个木马共享以下关键特征:

  • 使用.NET开发。
  • 以巴西用户和银行为目标。
  • 使用几乎相同的代码进行URL监控和凭据窃取。
  • 包含通过WhatsApp Web传播的功能。

被归因于名为Water Saci的威胁行为者的Maverick,代表了这一恶意软件系列的进阶演变——它将凭据窃取和自我传播功能融合到一个完全自主的恶意软件-僵尸网络模型中。

Maverick活动的工作机制

该活动始于通过WhatsApp Web分享的恶意ZIP压缩包,其中包含一个Windows快捷方式文件,该文件会启动一个PowerShell命令,连接到攻击者的服务器zapgrande[.]com。

一旦执行,感染链按如下步骤展开:

  1. LNK文件执行:运行cmd.exe或PowerShell以下载加载器。
  2. 防御规避:禁用Microsoft Defender Antivirus和用户账户控制。
  3. 反分析:检查是否存在逆向工程工具;如果检测到则终止进程。
  4. 有效载荷投递:下载两个模块——SORVEPOTEL(传播代理)和Maverick(银行木马)。
  5. 地理过滤:仅当主机的时区、语言和区域设置确认位于巴西时,才安装Maverick。

CyberProof还发现了巴西酒店成为攻击目标的证据,这表明Water Saci可能正在将其攻击范围从银行机构扩展到酒店行业。

技术细节:SORVEPOTEL与Maverick

SORVEPOTEL模块既充当下载器也充当传播器,而Maverick则负责凭据窃取、浏览器劫持和命令执行。

Maverick的功能包括:

  • 监控浏览器活动标签页中拉丁美洲地区的银行URL。
  • 显示伪造的登录页面或钓鱼页面以收集凭据。
  • 收集系统和浏览器数据。
  • 执行来自远程C2服务器的命令,进行侦察和持久化驻留。

Water Saci不断演变的攻击链

Trend Micro的最新研究表明,Water Saci已将其早期的.NET有效载荷替换为基于Visual Basic脚本和PowerShell的加载器,以增加隐蔽性和灵活性。

观察到的新Water Saci攻击链: 新的活动通过ChromeDriver和Selenium自动化工具劫持WhatsApp Web会话,利用受害者的浏览器配置文件数据,向所有联系人发送包含恶意软件的ZIP文件,而不会触发安全警报。

更新的攻击序列:

  1. 用户下载并解压恶意ZIP文件。
  2. 包含的Orcamento.vbs下载器运行,并在内存中执行tadeu.ps1脚本。
  3. PowerShell脚本接管受害者的WhatsApp Web会话,向所有联系人发送ZIP文件。
  4. 一个伪造的"WhatsApp Automation v6.0"横幅掩盖了恶意活动。
  5. 恶意软件复制受害者的Chrome配置文件数据,用于无缝的会话劫持。

这种方法使攻击者无需QR码或触发登录警告即可即时访问受害者的WhatsApp账户,从而实现快速、自动化的传播。

基于电子邮件的命令与控制基础设施

Water Saci框架中最不寻常的元素之一是其基于电子邮件的C2基础设施,它使用IMAP连接到受多重身份验证保护的terra.com[.]br账户。

命令直接从攻击者控制的收件箱中检索,从而降低了可追溯性。

支持的C2命令包括:

  • 系统控制:重启、关机、更新
  • 文件操作:上传、下载、删除、移动、重命名
  • 执行:命令行、PowerShell、截屏、任务列表
  • 侦察:信息、文件信息、搜索
  • 持久化管理:创建文件夹、列出文件、检查邮件

该模式允许手动、隐蔽的控制——操作员甚至手动输入MFA验证码以维持访问权限。

为何WhatsApp是理想的传播媒介

WhatsApp在巴西拥有1.48亿活跃用户,已深度融入个人和商业通信中。Water Saci通过以下方式利用这一点:

  • 利用对个人联系人的信任来绕过对网络钓鱼的怀疑。
  • 劫持合法会话以实现无摩擦的恶意软件传播。
  • 传递高度本地化的葡萄牙语诱饵。

Trend Micro指出,这种"对受信任社交应用的武器化"标志着巴西网络犯罪策略的重大转变——从基于垃圾邮件的投递转向通过消息生态系统进行点对点感染。

Coyote关联得到证实

包括卡巴斯基、Sophos和CyberProof在内的多家安全公司证实,Maverick与早期也在巴西传播的.NET银行木马Coyote共享代码片段、逻辑和传播功能。

尽管对于Maverick是换名的后继者还是一个独立的变种存在不同看法,但共识是明确的:两者属于同一个巴西威胁生态系统,并且都表现出对金融机构的相同攻击模式。

Trend Micro表示:“将Water Saci活动与Coyote联系起来,揭示了巴西银行恶意软件场景的重大演变。威胁行为者已经从独立的有效载荷,转向利用合法的浏览器配置文件和消息传递应用进行隐蔽、可扩展的传播。”

防御指南

巴西和拉丁美洲的组织和个人应采取以下缓解措施:

  • 阻止并监控从未经验证的来源下载ZIP、LNK、VBS和PowerShell文件。
  • 限制浏览器自动化框架的使用。
  • 应用具有针对基于脚本的恶意软件行为检测功能的强大的端点保护。
  • 在WhatsApp等支持MFA的社交平台上启用MFA。
  • 教育用户防范基于WhatsApp的社会工程学和虚假的"自动化"提示。
  • 定期清理浏览器会话和cookie以降低劫持风险。
  • 监控电子邮件系统中是否存在基于IMAP的命令流量或异常的认证尝试。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次