Pesquisadores brasileiros desmontam campanha de vírus Maverick, do WhatsApp Web
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A empresa de segurança cibernética brasileira Solo Iron conseguiu invadir, analisar e desmontar ao menos uma “célula online” de uma campanha de malware que espalha mensagens em massa através do WhatsApp Web. Ela é conhecida por infectar computadores dos usuários e roubando dados bancários através de um trojan.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Já noticiada no Canaltech sob o nome SORVEPOTEL, onde o vírus foi identificado como Maverick, a campanha foi investigada internamente pela Solo Iron sob o nome “WhatsApp Spray”. Os pesquisadores da companhia observaram o funcionamento do vírus fileless, que funciona diretamente na memória da máquina, desde seu espalhamento por engenharia social até a execução dos códigos do malware.
Invasão pelo Whatsapp Web
Segundo o levantamento da empresa, a operação dos hackers foi iniciada em 1º de outubro, com alto nível de automação e grande escala operacional. Além de conseguir obter os códigos dos vírus, a equipe também foi capaz de invadir a infraestrutura pública dos cibercriminosos graças a uma vulnerabilidade em um dos domínios investigados.
A equipe ganhou acesso ao painel administrativo para o espalhamento dos arquivos virais, revelando a escala da campanha e os domínios e IPs envolvidos. O processo de infecção começa com o envio de arquivos .zip pelo WhatsApp, fingindo ser um comprovante bancário ou outro documento financeiro.
Dentro, há um arquivo cmd.exe que é acionado por uma string específica, invocando um PowerShell que executa uma linha de comando em Base64. Por fim, esse comando baixa um script remoto que carrega um assembly .NET direto na memória através de Assembly.Load, sem gravar qualquer arquivo em disco.
Assim, o vírus conseguia enumerar os processos ativos, aumentava seus próprios privilégios e alterava regras de firewall para permitir tráfego malicioso. Isso tudo, por ser feito na memória, evita a detecção por antivírus tradicionais.
Os criminosos conseguiam monitorar a disseminação do trojan através de uma dashboard, onde também era possível automatizar a geração de nomes de arquivos, ver a taxa de sucesso dos vírus e controlar a distribuição de URLs para download dos arquivos.
Você pode conferir o relatório completo, onde é descrito o funcionamento detalhado do malware e o que os pesquisadores descobriram, no blog da Solo Iron.
Confira também:
- Brasil é alvo de novo vírus que se espalha sozinho pelo WhatsApp Web
- Possível acordo do governo federal com a Amazon pode colocar dados do GSI na AWS
- 63% dos consumidores brasileiros não conseguem identificar golpes com IA
VÍDEO | O app do WHATSAPP (como conhecemos) vai DEIXAR de EXISTIR no Windows: e agora?