A Kaspersky revelou detalhes sobre o Maverick, novo trojan bancário brasileiro que tem se espalhado rapidamente pelo WhatsApp e apresenta técnicas avançadas de infecção. De acordo com a empresa, foram bloqueadas mais de 62 mil tentativas de ataque apenas nas primeiras semanas de outubro, em uma campanha direcionada exclusivamente a usuários no Brasil.
A análise técnica indica que o Maverick compartilha código e mecanismos de criptografia com o Coyote, outro trojan nacional identificado pela Kaspersky em 2024. As semelhanças apontam que o Maverick pode ser uma evolução ou um projeto paralelo desenvolvido pelo mesmo grupo de cibercriminosos.
Infecção começa com arquivo enviado via WhatsApp
O ataque tem início quando a vítima recebe um arquivo compactado (.zip) pelo WhatsApp, contendo um atalho (.LNK) malicioso. Ao executar o arquivo, o malware verifica se o computador pertence a um usuário brasileiro, analisando idioma, fuso horário e formato de data e hora. A infecção só continua se essas configurações forem confirmadas como brasileiras.
Após a validação, o Maverick executa uma cadeia de infecção totalmente na memória do sistema, o que dificulta sua detecção por antivírus tradicionais. A partir desse ponto, o trojan passa a controlar o dispositivo da vítima, podendo capturar telas, registrar tudo o que é digitado e monitorar acessos a 26 bancos e seis corretoras de criptomoedas.
O malware também utiliza a conta de WhatsApp da vítima para se espalhar automaticamente, enviando mensagens fraudulentas pela versão web do aplicativo. Esse comportamento tem sido o principal responsável pela rápida disseminação da ameaça no país.
Conexão com o trojan Coyote e sofisticação técnica
A investigação da Kaspersky identificou que o Maverick utiliza o mesmo algoritmo AES-256 de criptografia empregado pelo Coyote para esconder a lista de instituições financeiras-alvo. Segundo os pesquisadores, essa característica reforça a hipótese de que o Maverick é uma evolução direta do trojan anterior, com componentes reformulados para maior complexidade e eficiência.
“O que mais chama a atenção no Maverick é sua sofisticação e sua ligação com ameaças anteriores. Ele compartilha partes importantes do código com o Coyote, um trojan que descobrimos em 2024, o que sugere que os criminosos estão evoluindo e reescrevendo seus componentes para torná-los mais perigosos. Além disso, a capacidade de se espalhar automaticamente pelo WhatsApp o torna um worm com potencial de crescimento exponencial, elevando o impacto do golpe. É uma das cadeias de infecção mais complexas que já vimos para um trojan bancário”, comenta Anderson Leite, analista sênior de Segurança da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Recomendações de segurança
Para reduzir o risco de infecção, a Kaspersky recomenda aos usuários:
- Desconfiar de arquivos recebidos pelo WhatsApp, mesmo que venham de contatos conhecidos, principalmente se forem arquivos compactados (.zip);
- Evitar clicar em arquivos de atalho (.LNK) de fontes desconhecidas;
- Utilizar soluções de segurança completas, como o Kaspersky Premium, que detecta e bloqueia ameaças em todas as etapas da infecção;
- Alertar contatos em caso de mensagens suspeitas e não encaminhar arquivos duvidosos.
