اخبار کوتاه

بانک‌های برزیلی هدف بدافزار واتساپ «Maverick»

security news

شکارچیان تهدید، شباهت‌هایی بین بدافزار بانکی Coyote و برنامه مخرب تازه افشا شده Maverick که از طریق واتساپ منتشر شده کشف کرده‌اند.

طبق گزارشی از CyberProof، هر دو گونه بدافزار با زبان دات‌نت نوشته شده‌اند، کاربران و بانک‌های برزیلی را هدف قرار می‌دهند و دارای قابلیت‌های یکسانی برای رمزگشایی، هدف قرار دادن URLهای بانکی و نظارت بر برنامه‌های بانکی هستند. مهمتر از همه، هر دو شامل قابلیت پخش از طریق واتساپ وب هستند. Maverick برای اولین بار توسط ترند میکرو در اوایل ماه گذشته مستند شد و آن را به یک عامل تهدید به نام Water Saci نسبت دادند. این کمپین شامل دو جزء است: یک بدافزار خود تکثیر به نام SORVEPOTEL که از طریق نسخه وب دسکتاپ واتساپ پخش می‌شود و برای ارائه  آرشیو ZIP حاوی پیلود داده Maverick استفاده می‌شود. این بدافزار به گونه‌ای طراحی شده است که تب‌های فعال پنجره مرورگر را برای یافتن URLهایی که با فهرست کدگذاری‌شده‌ی موسسات مالی در آمریکای لاتین مطابقت دارند، رصد کند. در صورت مطابقت URLها، ضمن برقراری ارتباط با یک سرور از راه دور، دستورات بعدی را برای جمع‌آوری اطلاعات سیستم و ارائه صفحات فیشینگ برای سرقت اعتبارنامه‌ها دریافت می‌کند.

شرکت امنیت سایبری Sophos، در گزارشل این احتمال را مطرح کرد که آیا این فعالیت می‌تواند مربوط به کمپین‌های گزارش‌شده پیشین باشد که کاربران برزیلی را هدف قرار می‌دادند و آیا Maverick تکامل‌یافته‌ی Coyote است یا خیر؟! تجزیه و تحلیل دیگری از کسپرسکی نشان داد که Maverick حاوی همپوشانی‌های کد زیادی با Coyote است، اما خاطرنشان کرد که آن را به عنوان یک تهدید کاملاً جدید که برزیل را به طور گسترده هدف قرار می‌دهد، در نظر می‌گیرد. آخرین یافته‌های CyberProof نشان می‌دهد که فایل زیپ حاوی یک میانبر ویندوز (LNK) است که وقتی توسط کاربر اجرا می‌شود، cmd.exe یا PowerShell را اجرا می‌کند تا به یک سرور خارجی متصل شود و پیلود مرحله اول را دانلود کند. اسکریپت PowerShell قادر به اجرای ابزارهای واسطه‌ای است که برای غیرفعال‌سازی آنتی‌ویروس Microsoft Defender و UAC طراحی شده‌اند و همچنین یک لودر NET. را بازیابی می‌کنند. این لودر، دارای تکنیک‌های ضد تجزیه و تحلیل برای بررسی وجود ابزارهای مهندسی معکوس و در صورت یافتن، خود-خاتمه‌دهی است. سپس لودر اقدام به دانلود ماژول‌های اصلی حمله می‌کند: SORVEPOTEL و Maverick. شایان ذکر است که Maverick تنها پس از اطمینان از اینکه قربانی در برزیل قرار دارد، با بررسی منطقه زمانی، زبان، منطقه و قالب تاریخ و زمان میزبان آلوده، نصب می‌شود.

https://securelist.com/coyote-multi-stage-banking-trojan/111846/
https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html

مطالب مرتبط

security news

گروه تهدید MuddyWater با کمپین Riverbank حملات سایبری خود را از سر گرفته است

security news

آسیب‌پذیری‌های Picklescan امکان فرار از اسکن‌ و اجرای کد را به مدل‌های مخرب PyTorch می‌دهد

security news

بازگشت بدافزار Glassworm در موج سوم پکیج‌های مخرب VS Code