WhatsApp-malware ‘Maverick’ kaapt browsersessies om de grootste banken van Brazilië te targeten

Cyberbeveiliging
WhatsApp-malware 'Maverick' kaapt browsersessies om de grootste banken van Brazilië te targeten

Bedreigingsjagers hebben overeenkomsten ontdekt tussen een bankmalware genaamd Coyote en een nieuw onthuld kwaadaardig programma genaamd Maverick dat via WhatsApp is verspreid.

Volgens een rapport van CyberProof zijn beide malwaresoorten geschreven in .NET, gericht op Braziliaanse gebruikers en banken, en beschikken ze over identieke functionaliteit voor het decoderen, targeten van bank-URL’s en het monitoren van bankapplicaties. Belangrijker nog is dat beide de mogelijkheid bieden om zich via WhatsApp Web te verspreiden.

Maverick werd begin vorige maand voor het eerst gedocumenteerd door Trend Micro en schreef het toe aan een zogenaamde dreigingsacteur Waterzak. De campagne omvat twee componenten: een zichzelf verspreidende malware, SORVEPOTEL genaamd, die wordt verspreid via de desktopwebversie van WhatsApp en wordt gebruikt om een ​​ZIP-archief af te leveren met de Maverick-payload.

De malware is ontworpen om actieve browsertabbladen te controleren op URL’s die overeenkomen met een hardgecodeerde lijst van financiële instellingen in Latijns-Amerika. Als de URL’s overeenkomen, wordt er contact gemaakt met een externe server om vervolgopdrachten op te halen om systeeminformatie te verzamelen en phishing-pagina’s weer te geven om inloggegevens te stelen.

Cyberbeveiligingsbedrijf Sophos was in een volgend rapport de eerste die de mogelijkheid naar voren bracht of de activiteit verband kon houden met eerder gerapporteerde campagnes die Coyote verspreidden, gericht op gebruikers in Brazilië, en of Maverick een evolutie van Coyote is. Uit een andere analyse van Kaspersky bleek dat Maverick veel code-overlappingen met Coyote bevatte, maar merkte op dat het het behandelt als een volledig nieuwe dreiging die zich massaal op Brazilië richt.

Uit de laatste bevindingen van CyberProof blijkt dat het ZIP-bestand een Windows-snelkoppeling (LNK) bevat die, wanneer deze door de gebruiker wordt gestart, cmd.exe of PowerShell uitvoert om verbinding te maken met een externe server (“zapgrande(.)com”) om de eerste fase van de payload te downloaden. Het PowerShell-script kan tussenliggende tools starten die zijn ontworpen om Microsoft Defender Antivirus en UAC uit te schakelen, en om een ​​.NET-lader op te halen.

De lader beschikt op zijn beurt over anti-analysetechnieken om te controleren op de aanwezigheid van reverse engineering-tools en zichzelf te beëindigen als deze worden gevonden. De lader gaat vervolgens verder met het downloaden van de belangrijkste modules van de aanval: SORVEPOTEL en Maverick. Het is de moeite waard hier te vermelden dat Maverick alleen wordt geïnstalleerd nadat er zeker van is dat het slachtoffer zich in Brazilië bevindt door de tijdzone, taal, regio en datum- en tijdnotatie van de geïnfecteerde host te controleren.

CyberProof zei dat het ook bewijs heeft gevonden dat de malware wordt gebruikt om hotels in Brazilië te selecteren, wat wijst op een mogelijke uitbreiding van de targeting.

De onthulling komt op het moment dat Trend Micro de nieuwe aanvalsketen van Water Saci gedetailleerd beschrijft. Deze maakt gebruik van een op e-mail gebaseerde command-and-control (C2)-infrastructuur, vertrouwt op multi-vector persistentie voor veerkracht en bevat verschillende geavanceerde controles om detectie te omzeilen, operationele stealth te verbeteren en de uitvoering te beperken tot alleen Portugeestalige systemen.

“De nieuwe aanvalsketen beschikt ook over een geavanceerd afstandscommando- en controlesysteem waarmee bedreigingsactoren real-time beheer kunnen uitvoeren, inclusief het pauzeren, hervatten en monitoren van de campagne van de malware, waardoor geïnfecteerde machines effectief worden omgezet in een botnettool voor gecoördineerde, dynamische operaties over meerdere eindpunten”, aldus het cyberbeveiligingsbedrijf in een rapport dat eind vorige maand werd gepubliceerd.

De infectiereeks schuwt .NET-binaire bestanden ten gunste van Visual Basic Script (VB Script) en PowerShell om WhatsApp-browsersessies te kapen en het ZIP-bestand via de berichten-app te verspreiden. Net als bij de vorige aanvalsketen wordt de WhatsApp-webkaping uitgevoerd door ChromeDriver en Selenium te downloaden voor browserautomatisering.

De aanval wordt geactiveerd wanneer een gebruiker het ZIP-archief downloadt en uitpakt, dat een versluierde VBS-downloader (“Orcamento.vbs” oftewel SORVEPOTEL) bevat, die op zijn beurt een PowerShell-opdracht geeft om een ​​PowerShell-script (“tadeu.ps1”) rechtstreeks in het geheugen te downloaden en uit te voeren.

Dit PowerShell-script wordt gebruikt om de controle over de WhatsApp-websessie van het slachtoffer over te nemen en de kwaadaardige ZIP-bestanden te verspreiden naar alle contacten die aan hun account zijn gekoppeld, terwijl ook een misleidende banner wordt weergegeven met de naam “WhatsApp Automation v6.0” om de kwaadaardige bedoelingen ervan te verbergen. Bovendien maakt het script contact met een C2-server om berichtsjablonen op te halen en contactlijsten te exfiltreren.

“Na het beëindigen van bestaande Chrome-processen en het wissen van oude sessies om een ​​schone werking te garanderen, kopieert de malware de legitieme Chrome-profielgegevens van het slachtoffer naar zijn tijdelijke werkruimte”, aldus Trend Micro. “Deze gegevens omvatten cookies, authenticatietokens en de opgeslagen browsersessie.”

“Deze techniek maakt het mogelijk dat de malware de authenticatie van WhatsApp Web volledig omzeilt, waardoor onmiddellijke toegang wordt verkregen tot het WhatsApp-account van het slachtoffer zonder beveiligingswaarschuwingen te activeren of het scannen van QR-codes te vereisen.”

De malware, zo voegde het cyberbeveiligingsbedrijf toe, implementeert ook een geavanceerd mechanisme voor afstandsbediening waarmee de tegenstander de WhatsApp-propagatie in realtime kan pauzeren, hervatten en monitoren, waardoor het effectief wordt omgezet in malware die de aangetaste hosts als een bot kan controleren.

Wat betreft de manier waarop het ZIP-archief daadwerkelijk wordt gedistribueerd, itereert de PowerShell-code elk geoogst contact en controleert op een pauzeopdracht voordat gepersonaliseerde berichten worden verzonden door variabelen in de berichtsjabloon te vervangen door op tijd gebaseerde begroetingen en contactnamen.

Een ander belangrijk aspect van SORVEPOTEL is dat het IMAP-verbindingen met terra.com(.)br e-mailaccounts gebruikt met behulp van hardgecodeerde e-mailgegevens om verbinding te maken met het e-mailaccount en opdrachten op te halen, in plaats van traditionele HTTP-gebaseerde communicatie te gebruiken. Sommige van deze accounts zijn beveiligd met multi-factor authenticatie (MFA) om ongeautoriseerde toegang te voorkomen.

Deze extra beveiligingslaag zou operationele vertragingen hebben veroorzaakt, omdat elke login vereist dat de bedreigingsactor handmatig een eenmalige authenticatiecode invoert om toegang te krijgen tot de inbox en de C2-server-URL op te slaan die wordt gebruikt om de opdrachten te verzenden. De achterdeur ondervraagt ​​vervolgens periodiek de C2-server om de instructie op te halen. De lijst met ondersteunde opdrachten is als volgt:

  • INFO, om gedetailleerde systeeminformatie te verzamelen
  • CMD, om een ​​opdracht uit te voeren via cmd.exe en de resultaten van de uitvoering naar een tijdelijk bestand te exporteren
  • POWERSHELL, om een ​​PowerShell-opdracht uit te voeren
  • SCREENSHOT, om schermafbeeldingen te maken
  • TASKLIST, om alle lopende processen op te sommen
  • KILL, om een ​​specifiek proces te beëindigen
  • LIST_FILES, om bestanden/mappen op te sommen
  • DOWNLOAD_FILE, om bestanden van een geïnfecteerd systeem te downloaden
  • UPLOAD_FILE, om bestanden naar een geïnfecteerd systeem te uploaden
  • DELETE, om specifieke bestanden/mappen te verwijderen
  • RENAME, om bestanden/mappen te hernoemen
  • COPY, om bestanden/mappen te kopiëren
  • MOVE, om bestanden/mappen te verplaatsen
  • FILE_INFO, om gedetailleerde metadata over een bestand te krijgen
  • SEARCH, om recursief te zoeken naar bestanden die overeenkomen met gespecificeerde patronen
  • CREATE_FOLDER, om mappen te maken
  • REBOOT, om het systeem opnieuw op te starten met een vertraging van 30 seconden
  • SHUTDOWN, om het systeem uit te schakelen met een vertraging van 30 seconden
  • UPDATE, om een ​​bijgewerkte versie van zichzelf te downloaden en te installeren
  • CHECK_EMAIL, om de door de aanvaller gecontroleerde e-mail te controleren op nieuwe C2-URL’s

Het wijdverbreide karakter van de campagne wordt gedreven door de populariteit van WhatsApp in Brazilië, dat ruim 148 miljoen actieve gebruikers heeft, waardoor het na India de grootste markt ter wereld is.

“De infectiemethoden en de voortdurende tactische evolutie, samen met de regiogerichte targeting, geven aan dat Water Saci waarschijnlijk gelinkt is aan Coyote, en beide campagnes opereren binnen hetzelfde Braziliaanse cybercriminele ecosysteem”, aldus Trend Micro, die de aanvallers beschrijft als agressief in “kwantiteit en kwaliteit.”

“Het koppelen van de Water Saci-campagne aan Coyote onthult een groter beeld dat een significante verschuiving laat zien in de verspreidingsmethoden van de banktrojan. Bedreigingsactoren zijn overgestapt van het vertrouwen op traditionele payloads naar het exploiteren van legitieme browserprofielen en berichtenplatforms voor heimelijke, schaalbare aanvallen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De Pixel Feature Drop van Google in november brengt AI Remix, Scam Detection en Wicked Themes met zich mee

Android-pc’s met Snapdragon-chips zijn onderweg, blijkt uit lek

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]