Новый банковский троян Maverick распространяется через WhatsApp Web – что известно и как защититься

Исследователи сообщили о новой волне атак с использованием банковского трояна Maverick, который активно распространяется через веб-версию WhatsApp. Вредонос уже привлёк внимание аналитиков CyberProof и Trend Micro — они отмечают сходство с предыдущими семействами (в частности, Coyote) и указывают на усложнение методов распространения и управления. Ниже — разбор механики атаки, возможностей зловреда, предполагаемых операторов и практические рекомендации по защите.

---

Как работает кампания: от ZIP-архива до полноценного удалённого контроля (C2)

1. Рассылка через WhatsApp Web.
   Атака начинается с сообщения в WhatsApp Web: контакт получает ZIP-архив, замаскированный под полезную утилиту (например, «WhatsApp Automation v6.0»). Пользователь распаковывает архив и запускает ярлык (.LNK) — обычно это первая и ключевая ошибка.

2. Запуск PowerShell-скрипта.
   LNK загружает и выполняет PowerShell-скрипт с удалённого сервера (в исследовании упоминается домен zapgrande[.]com). Скрипт отключает защитные механизмы Windows (в частности, Microsoft Defender) и загружает загрузчик .NET (в ранних версиях) либо использует VBScript/PowerShell (в новых версиях).

3. Проверка окружения.
   Перед установкой вредонос проверяет системный язык, часовой пояс и регион — это помогает избежать исполнения в «нецелевых» средах (исследователи отмечают фильтрацию по регионам).

4. Самораспространение и автоматизация браузера.
   Для работы с WhatsApp Web троян применяет ChromeDriver + Selenium, что позволяет автоматизировать сессию браузера без повторного сканирования QR-кода. Такой подход делает рассылку сообщений и архивов от имени заражённого пользователя полностью автоматической.

5. Двухэтапная схема: SORVEPOTEL → Maverick.
   По данным Trend Micro, сначала в систему попадает компонент-самораспространитель SORVEPOTEL, который управляет рассылкой и готовит почву для загрузки основного трояна Maverick. Далее загружается основной модуль, реализующий банковский функционал.

6. Сложный C2 и защита инфраструктуры преступников.
   Операторы применяют продвинутый механизм управления: команды и шаблоны сообщений подгружаются в реальном времени, рассылку можно ставить на паузу/возобновлять. Любопытный ход — использование IMAP-канала к почтовым ящикам (например, terra.com[.]br) для передачи команд, что повышает устойчивость и скрытность C2-инфраструктуры.

---

Что умеет Maverick: возможности трояна

• Слежение за активными вкладками браузера и перехват переходов на сайты банков.

• Отображение поддельных страниц (web-injects) для похищения учётных данных.

• Сбор информации о системе (язык, регион, процессы, установленные программы).

• Загрузка и исполнение дополнительных модулей (обновление «самого себя»).

• Управление через CMD и PowerShell, выполнение произвольных команд.

• Снятие скриншотов, работа с файлами, перезагрузка/выключение устройства.

• Массовая рассылка заражённых архивов по контактам жертвы.

• Возможность таргетирования помимо банков — зафиксированы атаки на гостиницы (Бразилия), что указывает на расширение целей.

---

Кто стоит за атакой

Аналитики связывают кампанию с группировкой Water Saci. По данным Trend Micro, её операторы перешли от .NET к более лёгким скриптовым инструментам (VBScript/PowerShell) и применяют C2-решения с высокой операционной гибкостью.

---

Признаки заражения (IOC) и как обнаружить атаку

• Неожиданные ZIP-файлы/ярлыки (.LNK) в входящих сообщениях WhatsApp.

• Появление неизвестных процессов: PowerShell, wscript/cscript (VBScript), подозрительные .NET-процессы, ChromeDriver.

• Всплывающие окна с требованием ввести банковские данные при переходе на сайты банков.

• Отключение Microsoft Defender или сообщений о недоступности антивирусной защиты.

• Необычная активность исходящих соединений к подозрительным доменам или IMAP-серверу.

---

Как защититься: практические рекомендации

1. Не открывайте и не запускайте вложения .ZIP/.LNK из мессенджеров, даже если они пришли от знакомых — аккаунт отправителя мог быть скомпрометирован.

2. Отключите автоматический запуск ярлыков и скриптов, запретите исполнение PowerShell/Script без подтверждения для обычных пользователей.

3. Обновите ОС и антивирус — используйте EDR/AV с поведенческим анализом, который может блокировать подозрительную автоматизацию браузера (ChromeDriver + Selenium).

4. Включите MFA на всех учётных записях (почта, банки, важные сервисы) и используйте аппаратные токены, если возможно.

5. Проверяйте активные сессии в мессенджерах и завершайте незнакомые подключения.

6. Ограничьте права пользователей: используйте учётные записи без прав администратора для ежедневной работы.

7. Бэкапы и план реагирования: регулярно делайте резервные копии и имейте план восстановления системы.

8. Обучение персонала и домашних пользователей: объясните, что легитимные банки/госуслуги не рассылают ZIP-архивы с ярлыками и не делают массовые рассылки личных данных через мессенджеры.

---

Заключение

Maverick демонстрирует классический тренд: преступники комбинируют доступность мессенджеров и мощные автоматизационные инструменты (Selenium, ChromeDriver) для масштабных рассылок и фишинга. Ключ к защите — не столько технология, сколько осторожность пользователя: не запускать подозрительные вложения, держать ПО в актуальном состоянии, включать многофакторную аутентификацию и контролировать активные сессии.

• Meta признана экстремистской организацией и её деятельность запрещена на территории Российской Федерации