Investigadores de ciberseguridad descubren malware dirigido a usuarios brasileños a través de WhatsApp Web.

Las empresas de ciberseguridad CyberProof, Trend Micro, Sophos y Kaspersky creen que Maverick ataca a los usuarios de WhatsApp Web combinando scripts de Visual Basic y PowerShell con la automatización del navegador para secuestrar cuentas y enviar archivos ZIP maliciosos a los contactos.

El equipo SOC de CyberProof investigó un incidente dent el que se descargó un archivo sospechoso a través de la interfaz web de WhatsApp. El archivo era un archivo ZIP llamado NEW-20251001_152441-PED_561BCF01.zip.

Se recuperaron los hashes SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e y SHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. Cuando las víctimas ejecutan un acceso directo (LNK) dentro del archivo, se desofusca el código para compilar y ejecutar cmd o PowerShell, y los comandos se conectan a un servidor del atacante para obtener la carga útil de la primera etapa.

Cargador de malware Maverick oculto mediante ofuscación classic

Según una entrada de blog publicada el lunes pasado por el equipo de investigación de CyberProof, el cargador utiliza tokens divididos combinados con código PowerShell codificado en Base64 y UTF-16LE. Comprueba la presencia de herramientas de ingeniería inversa y, si detecta analistas, se autoelimina. De lo contrario, descarga un gusano llamado SORVEPOTEL y un troyano bancario conocido como Maverick.

Trend Micro documentó por primera vez Maverick, el troyano bancario que monitoriza la actividad web, a principios del mes pasado y lo vinculó a un actor al que denomina Water Saci. SORVEPOTEL es un malware de autopropagación que se propaga a través de WhatsApp Web mediante la entrega de un archivo ZIP que contiene código malicioso.

Maverick analiza las pestañas activas del navegador en busca de URL que coincidan con una lista predefinida de instituciones financieras latinoamericanas de Brasil. Si encuentra una coincidencia, el troyano obtiene comandos adicionales de un servidor remoto y solicita datos del sistema para enviar páginas de phishing con el fin de robardent.

El equipo de seguridad de la empresa de software antivirus Kaspersky detectó varias coincidencias de código entre Maverick y un malware bancario más antiguo llamado Coyote. La empresa británica de software de seguridad Sophos indicó que existe la posibilidad de que Maverick sea una evolución de Coyote, pero Kaspersky considera a Maverick una amenaza distinta para los usuarios de WhatsApp Web en Brasil.

Cómo Maverick secuestra WhatsApp Web

La investigación de CyberProof indicó que la campaña evita los binarios de .NET y opta por VBScript y PowerShell. El archivo ZIP contiene un descargador de VBScript ofuscado llamado Orcamento.vbs, que los investigadores vinculan con SORVEPOTEL. 

El script VBScript ejecuta un comando de PowerShell que ejecuta tadeu.ps1 directamente en memoria, mientras que la carga útil de PowerShell automatiza Chrome mediante ChromeDriver y Selenium. Toma el control de la de WhatsApp Web de la víctima y distribuye el archivo ZIP malicioso a todos sus contactos.

El malware finaliza cualquier proceso de Chrome en ejecución y copia el perfil legítimo de Chrome a un espacio de trabajo temporal antes de enviar cualquier mensaje. 

“Estos datos incluyen cookies, tokens de autenticación y la sesión de navegador guardada, y permiten que el malware eluda la autenticación de WhatsApp Web para dar a un hacker acceso inmediato a la cuenta de WhatsApp de la víctima sin ninguna alerta de seguridad ni escaneo de código QR”, conjeturó la empresa de software de ciberseguridad estadounidense-japonesa Trend Micro.

El script, tras tomar el control de la aplicación web, muestra un banner engañoso con el título «Automatización de WhatsApp v6.0» para ocultar su actividad. El código de PowerShell obtiene plantillas de mensajes de un servidor de comando y control (C2) y extrae la lista de contactos de la víctima. 

El bucle de propagación itera sobre cada contacto recopilado antes de enviar cada mensaje y después de comprobar si el servidor C2 ha emitido una orden de pausa. Los mensajes se personalizan sustituyendo variables con saludos basados en la hora y nombres de contacto.

Trend Micro señala que la campaña utiliza un sofisticado sistema C2 remoto que permite la gestión en tiempo real. Los operadores pueden pausar, reanudar y supervisar la propagación para ejecutar operaciones coordinadas en los equipos infectados.

El malware Maverick solo se instala después de confirmar que el cliente se encuentra en Brasil. 

Cyberproof y Trend Micro confirmaron que Maverick se instala únicamente tras verificar que el equipo se encuentra en Brasil, comprobando la zona horaria, el idioma, la región del sistema y el formato de fecha y hora. Esta última empresa también descubrió que la cadena restringe la ejecución a sistemas en portugués. 

Según el informe de Trend Micro, la infraestructura de comando y control (C2) incluye canales basados en correo electrónico, lo que aumenta su redundancia y dificulta su detección. CyberProof también halló evidencia de que el malware atacaba específicamente hoteles en Brasil. Las empresas de seguridad temían que el atacante ampliara sus objetivos al sector hotelero, frecuentado por objetivos de alto valor.

Las búsquedas en VirusTotal ayudaron al equipo a recopilar muestras relacionadas y vincular sus hallazgos con investigaciones públicas de Kaspersky, Sophos y Trend Micro. Sin embargo, el análisisdent por la empresa de seguridad CyberProof reveló que no se pudo observar la cadena de infección completa debido a que los archivos del servidor de comando y control no se entregaron durante la investigación.

Únete a Bybit ahora y reclama un bono de $50 en minutos