https://blog.qife122.com/tags/whatsapp%E6%BB%A5%E7%94%A8/ Recent content in WhatsApp滥用 on 办公AI智能小助手 Hugo zh-cn qife Tue, 21 Oct 2025 18:15:40 +0800 https://blog.qife122.com/p/%E6%96%B0%E5%9E%8B%E9%93%B6%E8%A1%8C%E6%9C%A8%E9%A9%ACmaverick%E6%BB%A5%E7%94%A8whatsapp%E8%BF%9B%E8%A1%8C%E5%A4%A7%E8%A7%84%E6%A8%A1%E4%BC%A0%E6%92%AD/ Tue, 21 Oct 2025 18:15:40 +0800 https://blog.qife122.com/p/%E6%96%B0%E5%9E%8B%E9%93%B6%E8%A1%8C%E6%9C%A8%E9%A9%ACmaverick%E6%BB%A5%E7%94%A8whatsapp%E8%BF%9B%E8%A1%8C%E5%A4%A7%E8%A7%84%E6%A8%A1%E4%BC%A0%E6%92%AD/ <h1 id="关键发现">关键发现</h1> <ul> <li>通过WhatsApp分发的新型巴西银行木马&quot;Maverick&quot;通过包含恶意LNK文件的ZIP文件传播</li> <li>木马使用开源项目WPPConnect通过WhatsApp Web自动化发送消息，利用被劫持账户传播</li> <li>新木马与另一巴西银行木马Coyote存在代码相似性，但被认为是新威胁</li> <li>木马检查时区、语言、区域和日期时间格式确保受害者在巴西</li> <li>可完全控制受感染计算机：截图、监控浏览器、安装键盘记录器、控制鼠标、访问银行网站时锁屏、终止进程、打开钓鱼页面</li> <li>监控26家巴西银行网站、6家加密货币交易所网站和1个支付平台</li> <li>所有感染均为模块化且在内存中执行，磁盘活动最少，使用PowerShell、.NET和Donut加密的shellcode</li> <li>新木马在代码编写过程中使用AI，特别是在证书解密和通用代码开发中</li> <li>我们的解决方案在10月前10天在巴西阻止了6.2万次恶意LNK文件感染尝试</li> </ul> <h1 id="初始感染向量">初始感染向量</h1> <p>感染链工作流程如下：</p>