Um novo malware bancário, apelidado de Maverick, está se espalhando ativamente pelo WhatsApp Web com um alvo claro: clientes dos maiores bancos brasileiros. A ameaça é considerada sofisticada, combinando técnicas de sequestro de sessão, automação avançada e evasão de antivírus, tornando-se uma evolução perigosa do já conhecido malware Coyote. Especialistas alertam que qualquer usuário que utilize o WhatsApp Web pode ser vítima se não adotar cuidados básicos de segurança.
Pesquisas recentes conduzidas por empresas de cibersegurança, como Trend Micro, CyberProof e Sophos, identificaram que o Maverick não apenas visa roubar credenciais bancárias, mas também se propaga automaticamente entre contatos, aumentando rapidamente seu alcance. Além disso, ele é cuidadosamente direcionado ao Brasil, ignorando sistemas de outros países, o que evidencia a sofisticação e o foco do grupo cibercriminoso Water Saci.
Este artigo detalha como o malware Maverick funciona, sua relação com o Coyote, os métodos de ataque e, mais importante, medidas práticas que você pode tomar para se proteger e evitar ser vítima deste golpe.
O que é o malware Maverick e como ele infecta o computador?
O ataque começa com um arquivo ZIP malicioso, frequentemente disfarçado como documento importante, por exemplo, Orcamento.vbs, enviado pelo WhatsApp Web. Ao abrir o arquivo, o usuário ativa um script, geralmente um VBScript ou atalho .LNK, que baixa o payload principal do malware.
Dentro do pacote, encontra-se o módulo SORVEPOTEL, responsável por se propagar automaticamente para os contatos da vítima no WhatsApp, replicando a ameaça sem intervenção humana. Além disso, o Maverick utiliza PowerShell para desativar defesas do sistema, incluindo o Microsoft Defender e o Controle de Conta de Usuário (UAC), aumentando a chance de sucesso da infecção.
A cadeia de ataque é cuidadosamente planejada para enganar o usuário e contornar mecanismos básicos de proteção, transformando o computador em um vetor de propagação do malware.
O elo perdido: Por que o Maverick é considerado uma evolução do Coyote?
O Coyote é um trojan bancário já conhecido no Brasil, que infectava sistemas de maneira semelhante. Pesquisadores perceberam que o Maverick compartilha várias características técnicas com o Coyote, incluindo o desenvolvimento em .NET, foco nos mesmos bancos brasileiros e sobreposição de funcionalidades de código.
Isso indica que o Maverick não é apenas uma nova ameaça isolada, mas uma evolução tática do grupo Water Saci, que está refinando métodos de ataque, combinando automação, engenharia social e evasão de antivírus em um único pacote.
Como o Maverick sequestra sua sessão para roubar dados bancários
O Maverick monitora as abas ativas do navegador da vítima. Quando o usuário acessa a URL de um banco brasileiro da lista alvo, o malware entra em ação, exibindo páginas de phishing sobrepostas ou interceptando os dados digitados, como credenciais, senhas e tokens.
Para aumentar sua eficácia, o malware copia o perfil do Chrome da vítima, incluindo cookies e tokens de sessão, usando ferramentas legítimas de automação como ChromeDriver e Selenium. Isso permite que ele assuma o controle da conta do WhatsApp Web sem que seja necessário escanear um novo QR Code, tornando a propagação e o roubo de dados praticamente invisíveis.
Táticas avançadas: Um botnet com C2 por e-mail e foco exclusivo no Brasil
O malware utiliza servidores de Comando e Controle (C2) para receber instruções e atualizar suas operações. Diferente de ataques tradicionais que usam HTTP ou IP fixos, o Maverick se comunica por IMAP com contas de e-mail, recebendo comandos diretamente das mensagens. Essa abordagem torna o bloqueio pelos sistemas de segurança muito mais difícil.
Além disso, o malware verifica se a máquina está localizada no Brasil, checando fuso horário, idioma e região, e só executa o payload completo caso a vítima esteja no país. Essa estratégia transforma computadores infectados em uma botnet gerenciável em tempo real, permitindo ao grupo Water Saci pausar, atualizar e extrair dados de maneira cirúrgica.
Como se proteger do malware Maverick e de golpes no WhatsApp Web
- Desconfie de arquivos: Nunca abra arquivos compactados (.ZIP, .RAR) ou executáveis (.VBS, .LNK, .PS1) enviados pelo WhatsApp, mesmo que o remetente seja conhecido.
- Verifique sessões ativas: No app do celular, acesse Configurações > Aparelhos conectados e desconecte qualquer sessão do WhatsApp Web que você não reconheça.
- Mantenha defesas ativas: Atualize constantemente o Windows e o antivírus, garantindo que o Microsoft Defender ou outro software de segurança esteja ativo.
- Atenção ao banco: Sempre confirme o cadeado de segurança (HTTPS) nos sites bancários. Pop-ups inesperados ou lentidão podem indicar tentativa de fraude.
- Não execute scripts desconhecidos: Usuários comuns não devem abrir arquivos .vbs ou .ps1 baixados da internet.
Conclusão: A sofisticação crescente do cibercrime brasileiro
O malware Maverick e o grupo Water Saci representam uma evolução alarmante nos trojans bancários no Brasil. Combinando engenharia social pelo WhatsApp, automação avançada com Selenium e táticas de evasão sofisticadas como C2 por e-mail, o cibercrime está se tornando mais direcionado e eficaz.
Você já recebeu arquivos estranhos pelo WhatsApp? Revise agora mesmo suas sessões ativas no aplicativo e compartilhe este alerta para proteger seus amigos e familiares. A prevenção é a primeira linha de defesa contra ameaças como o malware Maverick.
