با کشف اخیر تیمهای Threat Hunting، یک تهدید جدید بانکی با نام Maverick شناسایی شده که شباهت واضحی به تروجان شناختهشده Coyote دارد. هر دو:
با .NET توسعه یافتهاند
کاربران و بانکهای برزیل را هدف قرار میدهند
قابلیت رمزگشایی (Decrypt)، مانیتورینگ URLهای بانکی و سرقت سشنهای مرورگر دارند
از WhatsApp Web بهعنوان بُردار انتشار (Self-Propagation Vector) استفاده میکنند
این کمپین توسط بازیگری با نام Water Saci اجرا شده و از یک زنجیره ماژولار و چندمرحلهای برای گریز از شناسایی، تداوم (Persistence) و کنترل Command-and-Control استفاده میکند.
زنجیره حمله (Kill-Chain فنی)
1. بُردار اولیه آلودگی – توزیع از طریق WhatsApp Web
کاربر، یک ZIP آلوده را از مخاطبین خود در WhatsApp دریافت میکند (مخاطب قبلاً آلوده شده است).
داخل ZIP یک فایل LNK مخرب قرار دارد.
فایل LNK پس از اجرا، یکی از دو مورد را اجرا میکند:
cmd.exeیا
powershell.exe
سپس به دامنه مهاجم متصل میشود و Stage-1 Payload را دانلود میکند.
hxxps://zapgrande[.]com
2. Stage 1 – PowerShell Loader
اسکریپت PowerShell دریافتشده دارای قابلیتها و رفتارهای زیر است:
غیرفعالسازی Windows Defender و UAC
اجرای ابزارهای میانی جهت Evasion
دانلود .NET Loader
اجرای Loader در Memory (Fileless Execution)
3. Stage 2 – .NET Loader با Anti-Analysis
Loader قبل از اجرای Payload اصلی، محیط را برای تشخیص موارد زیر بررسی میکند:
| بررسی | هدف |
|---|---|
| ابزارهای دیباگ/مهندسی معکوس | جلوگیری از تحلیل |
| Name/Processهای VM | جلوگیری از اجرا روی Sandbox |
| منطقه زمانی، زبان سیستم، فرمت تاریخ | اجرای انحصاری روی سیستمهای برزیل |
اگر سیستم خارج از
pt-BR, TimeZone برزیل، یا Locale غیر مرتبط باشد → بدافزار خود را Terminate میکند.
4. دانلود دو ماژول اصلی
پس از عبور از فیلترها، Loader دو ماژول را دانلود و اجرا میکند:
| نام ماژول | وظیفه |
|---|---|
| SORVEPOTEL | ماژول انتشار و ربایش WhatsApp Web |
| Maverick | بدافزار بانکی جهت مانیتورینگ، C2 و سرقت |
تحلیل SORVEPOTEL – موتور انتشار و ربایش WhatsApp
رفتارهای کلیدی:
دانلود و اجرای ChromeDriver + Selenium برای خودکارسازی مرورگر
Kill کردن تمام پردازشهای
chrome.exeاستخراج پروفایل مرورگر کاربر (Cookies, LocalStorage, Auth Tokens)
کلون پروفایل و تزریق آن در Session مهاجم → Bypass کامل احراز هویت WhatsApp بدون نیاز به QR
ارسال خودکار ZIP آلوده به همه مخاطبان
نمایش بنر فریبنده با متن:
WhatsApp Automation v6.0
ارسال پیامها
اسکریپت PowerShell:
لیست مخاطبین را از WhatsApp استخراج میکند
تمپلیت پیام را از C2 دریافت میکند
پیام را شخصیسازی میکند (نام کاربر، زمان روز، سلام و احوالپرسی)
ZIP را برای همه ارسال میکند
Infrastructure خاص و متفاوت: C2 روی ایمیل به جای HTTP!
این کمپین به جای C2 کلاسیک، از IMAP به ایمیل Terra.com.br استفاده میکند:
ارتباط با ایمیل از طریق IMAP
برخی اکانتها MFA فعال دارند
مهاجم مجبور است کد OTP را دستی وارد کند
URL سرور C2 داخل ایمیل ذخیره و به بدافزار تحویل داده میشود
این معماری باعث:
✅ کاهش احتمال بلاک در شبکه
✅ عبور راحت از فیلترینگ
✅ دشواری ارتباطیابی برای SOC
تحلیل فنی Maverick (تروجان بانکی)
قابلیتهای اصلی:
مانیتورینگ تبهای فعال مرورگر
تطبیق URL با لیست بانکهای Hardcode شده
فعالسازی فیشینگ در صورت Match
ارسال اطلاعات به C2
اجرای دستورات Shell و PowerShell
مدیریت کامل سیستم آلوده
Command List بدافزار
| دستور | عملکرد |
|---|---|
| INFO | جمعآوری کامل اطلاعات سیستم |
| CMD | اجرای فرمان و ذخیره خروجی |
| POWERSHELL | اجرای PowerShell |
| SCREENSHOT | گرفتن اسکرینشات |
| TASKLIST | لیست پردازشها |
| KILL | خاتمه پردازش |
| LIST_FILES | فهرست فایلها و پوشهها |
| DOWNLOAD_FILE / UPLOAD_FILE | انتقال فایل |
| DELETE / RENAME / COPY / MOVE | عملیات فایل |
| SEARCH | جستجوی Recursive |
| REBOOT / SHUTDOWN | ریاستارت یا خاموشی |
| UPDATE | بروزرسانی خود بدافزار |
| CHECK_EMAIL | چک ایمیل C2 جدید |
شباهتها و تفاوت با Coyote
| مؤلفه | Coyote | Maverick |
|---|---|---|
| توسعه | .NET | .NET |
| هدف | بانکهای برزیل | بانکهای برزیل + احتمال هتلها |
| انتشار | کلاسیک | WhatsApp Web Worm |
| ربایش Session | ❌ | ✅ |
| C2 | HTTP | IMAP Email C2 |
| اجرای ماژول | مستقیم | چندمرحلهای + Fileless + Evasion |
جمعبندی فنی برای مدیران SOC
| قابلیت | سطح خطر |
|---|---|
| انتشار خودکار کرمی در پیامرسان | 🔴 خیلی بالا |
| ربایش سشن مرورگر | 🔴 حیاتی |
| Fileless Execution | 🔴 بالا |
| C2 مبتنی بر IMAP | 🟠 سخت برای شناسایی |
| هدفگیری دقیق جغرافیایی | 🔴 هدفمند |
| سرقت داده بانکی و اجرای فیشینگ | 🔴 بحرانی |
توصیههای دفاعی (Engineering Facing)
1. EDR باید موارد زیر را شکار کند:
اجرای ChromeDriver/Selenium خارج از سناریوی اتوماسیون سازمانی
Kill انبوه chrome.exe
دسترسی اسکریپت به مسیرهای:
User\AppData\Local\Google\Chrome\User Data\
اجرای PowerShell از LNK و CMD Chain
ارتباط IMAP به دامنه terra.com.br با حجم غیرعادی
2. قوانین SIEM (Detection Ideas)
Spike در ارسال پیام WhatsApp Web از یک منبع IP
Traffic IMAP با Authentication Fail زیاد (به دلیل MFA)
ارتباط به IOCs مانند:
zapgrande[.]com
سیاستهای حفاظتی
Disable/Limit WhatsApp Web روی دستگاههای سازمانی
Monitor دسترسی به پروفایل Chrome
محدودسازی اجرای فابلهای LNK از ZIP
خلاصه مدیریتی (برای مدیران IT و امنیت)
کمپین Maverick یک تهدید در مقیاس بزرگ علیه کاربران بانکی برزیل است که از طریق WhatsApp Web Hijacking منتشر میشود. مهاجم بدون نیاز به پسورد یا QR، سشن فعال مرورگر را میدزدد، پیامهای آلوده را به مخاطبین کاربر ارسال میکند و کاربران را به صفحات فیشینگ بانکی هدایت میکند. این کمپین از تکنیکهای پیشرفته مثل Anti-Analysis، Persistence چندلایه، C2 مبتنی بر IMAP و غیرفعالسازی Defender بهره میبرد و شباهت زیادی به خانواده Coyote دارد. این حمله نشان میدهد مهاجمان از بدافزار سنتی عبور کرده و به سوءاستفاده از هویت دیجیتال کاربران (Session Hijacking) روی آوردهاند. سازمانها باید کنترلهای سختگیرانهتر روی Endpoint، آموزش مهندسی اجتماعی و مانیتورینگ رفتار مرورگر را در اولویت قرار دهند.
