A Kaspersky divulgou uma análise sobre o Maverick, novo trojan bancário que mira brasileiros, revelou a dimensão da campanha e suas possíveis conexões com grupos criminosos conhecidos do país. A empresa registrou o bloqueio de mais de 62 mil tentativas de infecção da ameaça apenas no mês de outubro no Brasil. Além disso, a investigação apontou que o novo trojan compartilha código e técnicas com o Coyote, trojan brasileiro analisado no início de 2024.
A pesquisa mostra que ao abrir o arquivo, a ameaça verifica se a vítima está no Brasil, analisando o fuso horário, o idioma e até o formato de data e hora do computador. A infeção prossegue apenas caso as configurações sejam brasileiras, mas, uma vez confirmadas, o arquivo malicioso inicia uma cadeia de infecção complexa que ocorre inteiramente na memória do computador, dificultando sua detecção.
E após a infeção, quando a vítima tenta acessar um dos 26 bancos ou 6 corretoras de criptomoedas monitoradas pelo Maverick, o trojan bancário é capaz de controlar totalmente o dispositivo, tirar capturas de tela, monitorar o acesso a sites, registrar o que é digitado e até mesmo usar a conta de WhatsApp da vítima para se espalhar para outros contatos, automatizando o envio de mensagens fraudulentas pela versão web do aplicativo. Esse fator do novo trojan auxilia na viralização da ameaça: apenas no início de outubro, a Kaspersky bloqueou mais de 62 mil tentativas de infecção do Maverick.
Ainda, a análise da Kaspersky sugere semelhanças entre os códigos do Maverick com o trojan Coyote, por exemplo, como o fato de ambos utilizarem o mesmo mecanismo de criptografia (AES-256) para ocultar a lista de bancos alvos do golpe. Esses pontos de convergência sugerem o que o trojan pode ser uma evolução ou um projeto paralelo dos mesmos desenvolvedores do Coyote, que reformularam seus componentes para criar uma ameaça ainda mais complexa.
“O que mais chama a atenção no Maverick é sua sofisticação e sua ligação com ameaças anteriores. Ele compartilha partes importantes do código com o Coyote, um trojan que descobrimos em 2024, o que sugere que os criminosos estão evoluindo e reescrevendo seus componentes para torná-los mais perigosos. Além disso, a capacidade de se espalhar automaticamente pelo WhatsApp o torna um worm com potencial de crescimento exponencial, elevando o impacto do golpe. É uma das cadeias de infecção mais complexas que já vimos para um trojan bancário”, comenta Anderson Leite, analista sênior de Segurança da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
