Novo malware bancário ataca milhões de brasileiros pelo WhatsApp Web

Pesquisadores identificaram uma nova ameaça voltada ao sistema financeiro brasileiro: o malware “Maverick”, que se propaga pelo WhatsApp Web e tem como alvo os maiores bancos do país. A descoberta, divulgada pela CyberProof e Trend Micro, revela que o Maverick compartilha fortes semelhanças com o Coyote, um trojan bancário já conhecido por ataques anteriores a instituições financeiras no Brasil. Ambos foram desenvolvidos em .NET, apresentam funcionalidades de descriptografia e monitoramento de URLs bancárias, e possuem a capacidade de se espalhar automaticamente pelo WhatsApp.

O grupo hacker Water Saci, apontado como responsável pela campanha, utiliza um método engenhoso para disseminar o vírus. O ataque começa quando o usuário recebe um arquivo ZIP malicioso via WhatsApp, contendo um atalho do Windows (LNK). Ao ser executado, o arquivo ativa comandos em cmd.exe ou PowerShell, conectando-se a um servidor remoto (“zapgrande[.]com”) para baixar a carga inicial.

O script subsequente desativa o antivírus Microsoft Defender e o Controle de Conta de Usuário (UAC), preparando o ambiente para baixar e executar os módulos SORVEPOTEL e Maverick.

O Maverick age de forma furtiva: monitora as abas do navegador da vítima em busca de URLs de bancos latino-americanos e, ao detectar uma correspondência, envia informações a um servidor remoto. Em seguida, recebe comandos para coletar dados do sistema, exibir páginas falsas e roubar credenciais bancárias.

O malware também verifica se o computador infectado está localizado no Brasil, checando fuso horário, idioma e formato de data antes de agir — uma forma de garantir que os ataques sejam direcionados apenas a alvos brasileiros.

A Trend Micro destacou ainda a sofisticação do ataque, que utiliza o controle remoto em tempo real dos sistemas comprometidos, transformando os computadores infectados em uma rede de bots coordenada.

O Maverick é capaz de controlar o WhatsApp Web da vítima, usando dados de sessão do navegador (como cookies e tokens de autenticação) para burlar a autenticação via QR Code e enviar automaticamente novos arquivos maliciosos a todos os contatos, disfarçados sob o nome “WhatsApp Automation v6.0”.

Além de bancos, há indícios de que o malware também esteja sendo utilizado para espionar hotéis brasileiros, ampliando o escopo de vítimas. O sistema de comando e controle (C2) opera por e-mails do domínio terra.com.br, autenticados com MFA (autenticação multifator), o que introduz atrasos operacionais, mas aumenta a discrição das comunicações.

O Maverick é capaz de executar mais de 20 comandos, incluindo coleta de informações do sistema, captura de tela, exclusão de arquivos e reinicialização remota.

Com mais de 148 milhões de usuários ativos no país, o WhatsApp se tornou o vetor ideal para disseminar o malware em larga escala. Segundo os Pesquisadores, a relação entre o Maverick e o Coyote indica uma evolução nas táticas dos grupos hackers brasileiros, que agora exploram plataformas legítimas e perfis de navegador para conduzir ataques de forma silenciosa e altamente escalável.

Via - THN