Ciberataque via WhatsApp espalha trojan Maverick que mira criptomoedas no Brasil
Trojan Maverick se espalha via WhatsApp com arquivos ZIP e atalho .LNK, desativa proteções, rouba credenciais e mira bancos e exchanges de criptomoedas no Brasil.
Mais de 62 mil tentativas foram bloqueadas em outubro; golpe usa ZIP com atalho .LNK, scripts PowerShell e automação de navegador para roubo e autopropagação.
Uma campanha de ciberataques em andamento no Brasil está distribuindo o trojan bancário Maverick por meio do WhatsApp, com foco em instituições financeiras e corretoras de criptomoedas. Pesquisadores de segurança apontam que o malware visa roubo de credenciais e controle remoto de dispositivos, ampliando o alcance a partir de contatos previamente comprometidos.
Somente em outubro, mais de 62 mil tentativas de infecção foram bloqueadas, segundo dados de monitoramento. Em paralelo, foram observadas atividades ligadas ao Maverick em cerca de 1.000 endpoints espalhados por 400 redes corporativas, o que evidencia um vetor capaz de atravessar ambientes pessoais e empresariais.
A cadeia de ataque começa com o envio de um arquivo compactado (.zip) que aparenta ser legítimo. A mensagem sugere que o conteúdo só pode ser aberto em um computador, induzindo a execução de um atalho (.LNK). A partir daí, o malware aciona scripts PowerShell ofuscados baixados de servidores controlados pelos criminosos, desabilita proteções locais e carrega o código malicioso na memória, reduzindo a eficácia de antivírus tradicionais.
Em alguns casos, os invasores instalam a ferramenta de automação de navegador para controlar sessões ativas, inclusive do WhatsApp Web, o que facilita a autopropagação para novos alvos. Uma vez ativo, o Maverick monitora o acesso a dezenas de bancos e a pelo menos seis exchanges de criptomoedas, podendo capturar telas, registrar teclas e assumir o controle do dispositivo. Máquinas comprometidas também passam a atuar como vetor para novas infecções.
Impacto para o investidor cripto: a combinação de captura de credenciais e controle de sessão amplia o risco de movimentações não autorizadas em contas de exchanges. Mesmo com autenticação em dois fatores, sessões sequestradas podem ser exploradas durante a navegação ativa.
Como reduzir o risco:
- Desconfie de arquivos .zip recebidos por mensageria, mesmo de contatos conhecidos, e evite abrir atalhos .LNK.
- Mantenha sistema operacional e soluções de segurança atualizados; ative proteção de reputação e bloqueio de scripts suspeitos.
- Use autenticação em dois fatores com aplicativo autenticador ou chave física nas contas financeiras e de exchanges.
- Em ambientes corporativos, restrinja a execução de PowerShell para usuários não administradores, aplique listas de permissões para arquivos .lnk e monitore atividades anômalas de automação de navegador.
Tags
