S.E.Book
Переслано от SecAtor
За последние две недели специалисты Trend Micro обнаружили SORVEPOTEL, червя WhatsApp, массово распространяющегося по всей Бразилии через ZIP-файлы, содержащие вредоносный LNK-файл, который не блокируется на платформе обмена сообщениями.
В свою очередь, исследователи из Лаборатории Касперского, в своем отчете отмечают, что этот червь в настоящее время используется для распространения нового банковского трояна Maverick.
Согласно телеметрии ЛК, все жертвы находились в Бразилии, но троян потенциально может распространяться и на другие страны.
Тем не менее, вредоносная ПО в настоящее время нацелена только на бразильцев.
Чтобы избежать обнаружения, C2 проверяет каждую загрузку, чтобы убедиться, что она исходит от самого вредоносного ПО.
Выявленная цепочка заражения полностью бесфайловая и представляет собой одну из самых сложных цепочек заражения, когда-либо обнаруженных ЛК, предназначенная для загрузки банковского трояна.
Конечная полезная нагрузка имеет множество совпадений и сходств кода с банковским трояном Coyote, который исследователи ЛК задокументировали в 2024 году.
Весьма вероятно, что Maverick - это новый банковский троян, использующий общий код Coyote, что может указывать на то, что разработчики последнего полностью рефакторили и переписали значительную часть своих компонентов.
После установки троян использует проект с открытым исходным кодом WPPConnect для автоматизации отправки сообщений в взломанные аккаунты через WhatsApp Web, используя этот доступ для отправки вредоносного сообщения контактам.
Maverick проверяет часовой пояс, язык, регион, а также формат даты и времени на зараженных компьютерах, чтобы убедиться, что жертва находится в Бразилии, в противном случае вредоносное ПО не будет установлено.
Банковский троян способен полностью контролировать зараженный компьютер, делая снимки экрана, следя за браузерами и сайтами, устанавливая кейлоггер, управляя мышью, блокируя экран при посещении банковского сайта, завершая процессы и открывая фишинговые страницы в оверлее.
Его цель - перехват банковских учётных данных.
После активации Maverick отслеживает доступ жертв к 26 сайтам бразильских банков, 6 сайтам обмена криптовалют и 1 платежной платформе.
Все заражения являются модульными и выполняются в памяти с минимальной дисковой активностью, с использованием PowerShell, .NET и шелл-кода, зашифрованного с помощью Donut.
Новый троян задействует ИИ в процессе написания кода, особенно при расшифровке сертификатов и общей разработке кода.
Исследователи отмечают, что Maverick работает как любой другой банковский троян, но при этом выделяют весьма тревожные факторы: червеобразная природа позволяет ему распространяться экспоненциально и, соответственно, оказывать значительное воздействие.
Только за первые 10 дней октября на территории одной Бразилии решения Лаборатории Касперского обеспечили блокировку 62 тысяч попыток заражений с использованием вредоносного LNK-файла.
Все технические подробности - как всегда, в отчете.
В свою очередь, исследователи из Лаборатории Касперского, в своем отчете отмечают, что этот червь в настоящее время используется для распространения нового банковского трояна Maverick.
Согласно телеметрии ЛК, все жертвы находились в Бразилии, но троян потенциально может распространяться и на другие страны.
Тем не менее, вредоносная ПО в настоящее время нацелена только на бразильцев.
Чтобы избежать обнаружения, C2 проверяет каждую загрузку, чтобы убедиться, что она исходит от самого вредоносного ПО.
Выявленная цепочка заражения полностью бесфайловая и представляет собой одну из самых сложных цепочек заражения, когда-либо обнаруженных ЛК, предназначенная для загрузки банковского трояна.
Конечная полезная нагрузка имеет множество совпадений и сходств кода с банковским трояном Coyote, который исследователи ЛК задокументировали в 2024 году.
Весьма вероятно, что Maverick - это новый банковский троян, использующий общий код Coyote, что может указывать на то, что разработчики последнего полностью рефакторили и переписали значительную часть своих компонентов.
После установки троян использует проект с открытым исходным кодом WPPConnect для автоматизации отправки сообщений в взломанные аккаунты через WhatsApp Web, используя этот доступ для отправки вредоносного сообщения контактам.
Maverick проверяет часовой пояс, язык, регион, а также формат даты и времени на зараженных компьютерах, чтобы убедиться, что жертва находится в Бразилии, в противном случае вредоносное ПО не будет установлено.
Банковский троян способен полностью контролировать зараженный компьютер, делая снимки экрана, следя за браузерами и сайтами, устанавливая кейлоггер, управляя мышью, блокируя экран при посещении банковского сайта, завершая процессы и открывая фишинговые страницы в оверлее.
Его цель - перехват банковских учётных данных.
После активации Maverick отслеживает доступ жертв к 26 сайтам бразильских банков, 6 сайтам обмена криптовалют и 1 платежной платформе.
Все заражения являются модульными и выполняются в памяти с минимальной дисковой активностью, с использованием PowerShell, .NET и шелл-кода, зашифрованного с помощью Donut.
Новый троян задействует ИИ в процессе написания кода, особенно при расшифровке сертификатов и общей разработке кода.
Исследователи отмечают, что Maverick работает как любой другой банковский троян, но при этом выделяют весьма тревожные факторы: червеобразная природа позволяет ему распространяться экспоненциально и, соответственно, оказывать значительное воздействие.
Только за первые 10 дней октября на территории одной Бразилии решения Лаборатории Касперского обеспечили блокировку 62 тысяч попыток заражений с использованием вредоносного LNK-файла.
Все технические подробности - как всегда, в отчете.
Securelist
Maverick: a new banking trojan abusing WhatsApp in a massive scale distribution
A malware campaign was recently detected in Brazil, distributing a malicious LNK file using WhatsApp. It delivered a new Maverick banker, which features code overlaps with Coyote malware.
4 1.8K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram