Maverick & Co.: WhatsApp-червь

Если коротко: появилось новое семейство вредил, которое умеет делать то, что многие считали неудобным — хитерно заразить WhatsApp Web и превратить чужие браузерные сессии в раздающий центр зловредов. Называется всё это по-разному — Maverick, SORVEPOTEL и в тени маячит «Water Saci» — но суть одна: взломал один десктоп, скопировал чужой Chrome-профиль, угнал WhatsApp Web и расшарил заражённый ZIP по всем контактам.

Работает это как криминальный автопилот: жертве приходит ZIP в WhatsApp, она скачивает, запускает LNK или VBS — и далее начинается шоу. Механика упрятана в знакомых инструментах: VBS + PowerShell + ChromeDriver + Selenium для автоматизации браузера, краденые cookie и токены из профиля Chrome для захода в WhatsApp Web без QR-сканирования, рассылка заражённого архива по контактам и запуск основного .NET-модуля Maverick, который уже следит за вкладками браузера и ждет, когда юзер зайдет на страницу одного из целевых банков.

Maverick — не любитель случайных жертв: он предварительно убеждается, что машина «бразильская» (таймзона, язык, локаль) и только тогда разворачивает основную нагрузку. Это не халтурная массовая рассылка, это прицельная охота на Португалоговорящих. Дальше — классика банковских троянов: мониторинг активных URL, если попался список «любимых» банков — связываемся с C2, качаем фишинговые страницы, собираем инфу, вбрасываем фейки и тянем креды. Помимо банковых схем были замечены прицелы на гостиницы — похоже, чекинят интересные цели в реальном мире и расширяют охват.

Ключевые моменты, которые заставляют хакеров хлопать в ладоши и админов нервно пить кофе:
— Распространение через WhatsApp Web: вредила автоматизирует браузер, крадёт сессии, рассылает себя по контактам так, будто это сделал сам владелец аккаунта. Это убирает основной барьер — необходимость нажать QR.
— Многослойная эвристика: запуск только на PTR-локалях (Португалия/Бразилия), проверки локали/таймзоны и детекты анализаторов — зловред выбирает, где ему жить и работать.
— Командная инфраструктура, привязанная к почте: часть C2 команд подтягивается через IMAP на terra.com.br с жёстко закодированными учётками — смешной поворот: MFA мешает, а оператор вручную вводит коды и продолжает кампанию. Это старомодно и живуче одновременно.
— Модули пост-эксплуатации: блок-список команд — от экраншотов до запуска произвольных команд и обновления; управляемая рассылка, пауза/продолжение кампании, контроль над темпом распространения — это уже не ботнет «в лоб», а скоординированный инструмент для масштабной компрометации банковских клиентов.

Про тех, кто стоит за этим: Trend Micro, Sophos и Kaspersky нашли много совпадений между Maverick и прежним семейством Coyote — общий код, .NET, методы таргетирования Бразилии и «способ привязки» к WhatsApp Web. Сплит мнений: кто-то считает Maverick эволюцией Coyote под новым брендом Water Saci; кто-то говорит, что это самостоятельная кампания с частичным ренеймом технологий. В любом случае у всех участников одна экосистема: фишинговые шаблоны, автоматизация браузера, хардкод IMAP-учёток, и сильный фокус на португалоязычный регион.

Что крысятники делают внутри машины: скачивают PowerShell-скрипт в память, отключают Defender/UAC, подтягивают .NET-лоадер, запускают SORVEPOTEL (автопропагатор через WhatsApp) и Maverick (основной троян для банков). Чтобы не светиться на антивирусах, лоадер проверяет окружение, убеждается, что не под анализом, и умирает, если ему не нравится песочница. А если всё ок — даёт мастерконтроль, и оттуда уже идёт управление: CMD, POWERSHELL, SCREENSHOT, LIST_FILES, UPLOAD/DOWNLOAD, REBOOT/SHUTDOWN, UPDATE и прочие «психиатрические» команды, которые делают из ПК полноценную точку наблюдения и атаки.

Почему это опасно: WhatsApp — суперпопулярный канал в Бразилии (150+ млн пользователей), поэтому вектор распространения максимально эфективен. Люди доверяют сообщениям от знакомых, и когда сообщение, вроде бы, пришло от друга — шансы, что кто-то ткнёт мышкой, огромны. Автоматизация через ChromeDriver делает мимикрию идеальной: сессия выглядит как родная, сообщения персонализированы (вставляются имена/вежливые формулы), и социнженерия работает на автопилоте.

Чего ждать дальше: операторы уже тестируют масштабы — от массовой рассылки до выборочной компрометации отелей и схожих организаций. Успех указывает на возможный эволюционный путь: больше региональных таргетов, улучшенная маршрутизация C2 (возможно отказ от IMAP в пользу более автоматизированных каналов), более изощрённые проверки окружения и ещё более хитрые методы, чтобы зайти в профиль WhatsApp без QR.