کمیته رکن چهارم – بدافزاری جدید با نام Maverick که از طریق واتساپ توزیع میشود، کاربران و بانکهای بزرگ برزیل را با هدف ربودن نشستهای مرورگر و سرقت اطلاعات مالی هدف قرار داده است.
به گزارش کمیته رکن چهارم، Maverick شباهتهای زیادی با بدافزار بانکی پیشین Coyote دارد و از طریق فایل ZIP آلوده، شامل میانبر LNK و اسکریپتهای PowerShell، وارد سیستم قربانی میشود. این بدافزار پس از تأیید موقعیت کاربر در برزیل، نشست مرورگر را بهویژه هنگام بازدید از سایتهای بانکی شناختهشده، تحت کنترل میگیرد و با استفاده از ابزارهایی مانند ChromeDriver و Selenium، فعالیتها را بهصورت خودکار انجام میدهد.
انتشار Maverick از طریق نشست واتساپ وب قربانی صورت میگیرد. اسکریپتی با نام SORVEPOTEL فایلهای آلوده را به مخاطبین ارسال میکند و با بارگذاری قالب پیام و بنر جعلی، کاربر را فریب میدهد. از آنسو، دربپشتی بدافزار مجموعهای از دستورات شامل کنترل فایلها، اجرای فرمانها، ضبط تصویر صفحه و حتی خاموشی سیستم را پشتیبانی میکند.
در یک روش خاص، بدافزار از طریق پروتکل IMAP و دسترسی به حسابهای ایمیل terra.com دستورات را دریافت میکند و حتی از تأیید دومرحلهای نیز عبور کرده است.
شرکتهای امنیتی مانند Trend Micro و CyberProof این تهدید را به گروه Water Saci نسبت دادهاند که پیشتر نیز در کمپین Coyote فعال بوده است. کارشناسان هشدار میدهند که با توجه به گستردگی استفاده از واتساپ در برزیل، این بدافزار پتانسیل گسترش وسیع و تبدیل به یک تهدید مالی بزرگ را دارد.
