Da Kaspersky arrivano altri dettagli sul trojan bancario Maverick, che si diffonde tramite file LNK dannosi, i cosiddetti shortcut, via WhatsApp e utilizza indirizzi URL in portoghese. Il trojan ha diverse somiglianze nel codice con l’altro trojan bancario Coyote, sempre brasiliano, e sfrutta la generazione di codice assistita dall’AI. In particolare per la decodifica dei certificati e lo sviluppo del codice in generale.
Il caso del Brasile
Recentemente in Brasile è stata individuata una grande campagna di diffusione di questi file LNK dannosi tramite WhatsApp. Per aggirare i controlli, il server di comando e controllo (C2) verifica ogni download per assicurarsi che sia originato dal malware, limitando le infezioni alle sole vittime brasiliane.
Maverick è tra i trojan bancari più sofisticati mai scoperti
Fabio Assolini, Head of Americas & Europe GReAT di Kaspersky
Maverick rappresenta una delle minacce più sofisticate che abbiamo mai incontrato nell’ambito dei trojan bancari. Ha già colpito un gran numero di utenti in Brasile. Le sue funzioni simili a quelle di un worm gli consentono di diffondersi rapidamente tramite le piattaforme di messaggistica istantanea più diffuse.
L’impatto è notevole: nei primi 10 giorni di ottobre, le nostre soluzioni hanno bloccato oltre 62.000 tentativi di eseguire il file LNK dannoso in Brasile. Sebbene attualmente il rischio maggiore riguardi gli utenti brasiliani, esiste la reale preoccupazione che, come per altre famiglie di trojan bancari quali Grandoreiro e Guildma, Maverick possa eventualmente espandersi a livello internazionale.
WhatsApp – Come si diffonde nel sistema
Il trojan bancario può assumere il controllo totale di un computer infetto. Ovvero può acquisire screenshot, monitorare i browser aperti e i siti visitati, installare keylogger, controllare il mouse. Inoltre può bloccare lo schermo quando si accede a un sito bancario, terminare i processi e visualizzare pagine di phishing tramite overlay, il tutto per sottrarre le credenziali bancarie. Una volta attivato, il trojan monitora l’attività delle vittime su 26 siti web di banche brasiliane, sei exchange di criptovalute e una piattaforma per pagamenti. Le infezioni sono modulari e vengono eseguite interamente in memoria con una minima attività del disco, sfruttando PowerShell e .NET, insieme a shellcode generato e crittografato utilizzando Donut.
I consigli di Kaspersky su come ridurre i rischi causati da Maverick
Prestare attenzione quando si aprono o si scaricano file ricevuti tramite app di messaggistica istantanea, anche se provengono da contatti conosciuti, poiché i loro account potrebbero essere stati compromessi. I messaggi urgenti o che mettono pressione sono una tattica comune utilizzata dai cybercriminali per far agire gli utenti rapidamente.
Implementare una soluzione di protezione digitale completa che integra la funzione Safe Money per proteggere le transazioni finanziarie. Questa funzione verifica l’autenticità dei sistemi di pagamento online e dei siti web bancari conosciuti.
Aggiornare il software installato sul computer.
Prestare attenzione durante l’applicazione degli aggiornamenti.
Scaricare software solo da fonti ufficiali ed evitare pacchetti aggiuntivi opzionali.
