Pesquisadores de segurança cibernética identificaram uma nova ameaça que está se espalhando rapidamente entre usuários brasileiros: o malware bancário Maverick.
O malware se propaga pelo WhatsApp Web, uma das plataformas mais usadas no país, e tem como alvo os principais bancos brasileiros, roubando credenciais e dados financeiros de forma furtiva.
O que é o malware Maverick?
De acordo com a CyberProof e a Trend Micro, o Maverick apresenta fortes semelhanças com o trojan bancário Coyote, conhecido por ataques anteriores no Brasil.
Ambos foram desenvolvidos em .NET e contam com recursos avançados de descriptografia, monitoramento de URLs bancárias e autopropagação via WhatsApp.
Como o ataque acontece
O grupo hacker Water Saci, identificado como o responsável pela campanha, utiliza uma estratégia engenhosa de disseminação:
- A vítima recebe um arquivo ZIP malicioso pelo WhatsApp.
- Dentro dele há um atalho do Windows (.LNK).
- Ao executá-lo, comandos em cmd.exe ou PowerShell conectam o sistema ao servidor remoto
zapgrande[.]com. - Esse servidor baixa a carga inicial do malware, que desativa o Microsoft Defender e o Controle de Conta de Usuário (UAC).
- Por fim, são baixados e executados os módulos SORVEPOTEL e Maverick.
Comportamento e capacidades do Maverick
O Maverick opera de forma silenciosa, monitorando abas do navegador da vítima em busca de URLs de bancos latino-americanos.
Quando detecta uma correspondência, envia os dados para um servidor remoto e recebe comandos para:
- Coletar informações do sistema;
- Exibir páginas falsas de login bancário;
- Roubar credenciais e tokens de autenticação.
Antes de agir, o malware verifica se o computador está no Brasil, analisando fuso horário, idioma e formato de data, para garantir que o ataque seja direcionado a alvos locais.
Controle remoto e propagação automática
Segundo a Trend Micro, o ataque é altamente sofisticado.
O Maverick consegue controlar o WhatsApp Web da vítima, utilizando cookies e tokens de autenticação do navegador para burlar o QR Code de login.
Assim, ele envia automaticamente novos arquivos maliciosos a todos os contatos, disfarçados sob o nome “WhatsApp Automation v6.0”.
Além de roubar dados bancários, há indícios de que o malware também esteja sendo usado para espionar hotéis brasileiros, ampliando o alcance das vítimas.
Detalhes técnicos e rede de controle
O sistema de comando e controle (C2) utiliza e-mails do domínio terra.com.br, protegidos com autenticação multifator (MFA).
Essa abordagem torna a comunicação entre os hackers e os dispositivos infectados mais discreta — embora introduza leves atrasos operacionais.
O Maverick é capaz de executar mais de 20 comandos, incluindo:
- Coleta de informações do sistema;
- Captura de tela;
- Exclusão de arquivos;
- Reinicialização remota.
Por que o WhatsApp é o vetor ideal
Com mais de 148 milhões de usuários ativos no Brasil, o WhatsApp se tornou o canal perfeito para disseminar ataques em massa.
A relação entre Maverick e Coyote demonstra uma evolução nas táticas dos cibercriminosos brasileiros, que agora exploram plataformas legítimas e dados de sessão do navegador para realizar ataques silenciosos e altamente escaláveis.
Como se proteger do malware Maverick
Especialistas recomendam:
- Nunca abrir arquivos ZIP ou LNK recebidos por WhatsApp, mesmo que pareçam legítimos.
- Manter o antivírus ativo e atualizado.
- Evitar desativar o UAC e o Microsoft Defender.
- Ativar a autenticação de dois fatores (2FA) em contas bancárias e mensageiros.
- Monitorar movimentações bancárias e relatar atividades suspeitas imediatamente ao banco.
Conclusão
O surgimento do Maverick é mais uma prova de que cibercriminosos estão profissionalizando suas operações e utilizando canais de comunicação populares como o WhatsApp Web para ampliar o impacto de seus ataques.
Manter-se informado e adotar boas práticas de cibersegurança é essencial para reduzir riscos e evitar prejuízos financeiros.
