У Бразилії розкрили нову хвилю банківських атак: шкідливі програми SORVEPOTEL та Maverick викрадають сесії WhatsApp Web, розсилають інфікований ZIP усім контактам і через браузер крадуть гроші з найбільших банків країни. Дослідники вважають, що за кампанією Water Saci стоїть та сама кіберзлочинна екосистема, що раніше розробляла троян Coyote.
Малварь Maverick і пов’язаний із нею компонент SORVEPOTEL націлені на користувачів Windows у Бразилії та їхні банківські акаунти. Інфікування починається з фішингового повідомлення у WhatsApp: жертві надсилають ZIP-архів, усередині якого лежить LNK–ярлик. При відкритті ярлик запускає cmd.exe або PowerShell, які підтягують перший етап атаки з віддаленого сервера (зокрема домену zapgrande[.]com) і виконують скрипт.
PowerShell-ланцюжок вимикає Microsoft Defender та UAC, а потім завантажує .NET–лоудер з антианалізом: той перевіряє наявність відладчиків та інструментів реверсу й завершує роботу, якщо їх знаходить. Далі лоудер завантажує основні модулі — сам SORVEPOTEL та банківський троян Maverick. Перш ніж активуватися, Maverick переконується, що жертва справді з Бразилії: перевіряє часовий пояс, мову системи, регіон і формат дати.
Після цього малварь моніторить активні вкладки браузера й порівнює URL із зашитим списком банків та фінансових сервісів Латинської Америки. Якщо збіг є, шкідник звертається до C2-сервера, отримує інструкції та може показувати фішингові оверлеї поверх сайту, збирати облікові дані, знімки екрана, список процесів, файли та повністю керувати системою (команди CMD/PowerShell, завантаження, видалення, перезапуск тощо).
Ключова «фішка» кампанії Water Saci — агресивне самопоширення через WhatsApp Web. Скрипти завантажують ChromeDriver і Selenium, підхоплюють реальний профіль Chrome із куками та токенами, щоб без QR–коду зайти в веб-клієнт WhatsApp від імені жертви. Далі SORVEPOTEL автоматично розсилає той самий ZIP усім контактам і в чати, показуючи нібито легітимний банер «WhatsApp Automation v6.0», щоб замаскувати масову розсилку.
Ще одна особливість — нестандартний C2. Замість класичного HTTP частина команд надходить через IMAP-доступ до поштових скриньок на terra.com[.]br, керування відбувається через шаблонізовані листи, а деякі акаунти захищені MFA. Це уповільнює операції, але ускладнює відстеження інфраструктури. У Trend Micro відзначають, що Water Saci вибудував повноцінний віддалений центр керування: з паузою/відновленням кампанії, моніторингом поширення та перетворенням заражених машин на ботнет для координованих атак.
Про банківський троян Coyote вперше повідомляли раніше: він також був написаний на .NET, орієнтувався на бразильських користувачів і банки та вмів перехоплювати браузерні сесії. Новий аналіз від кількох вендорів (Trend Micro, Kaspersky, CyberProof) показав значні перетини у коді Maverick і Coyote, схожі цілі, а також використання WhatsApp як основного вектора доставки, що дозволяє говорити про спільне походження в межах одного кримінального угруповання. При цьому дослідники наголошують: Maverick розглядають як окрему гілку еволюції, яка переносить акцент з класичних завантажувачів на викрадення реальних браузерних профілів і зловживання популярними месенджерами.
Кампанія Water Saci показує, що сучасні банківські трояни більше схожі на багатофункціональні платформи, ніж на «клавіатурні шпіони». Зловмисники переходять від прямих шкідливих EXE до сценаріїв на VBS/PowerShell, які викрадають браузерні профілі, обходять авторизацію в месенджерах і будують розподілені ботнети поверх звичних користувацьких сервісів. Для користувачів у регіонах, де WhatsApp є «дефолтним» каналом спілкування, це означає, що будь-який ZIP-файл від знайомого контакту може стати входом до масштабної фінансової атаки.
