Skip to main content

Maverick: il nuovo trojan bancario che si diffonde via WhatsApp — cosa sapere e come difendersi

maverick

Hai ricevuto un messaggio WhatsApp con un allegato strano, magari un file .ZIP o un collegamento .lnk, da un contatto che non te lo aspettavi? Fermati immediatamente.

Quella che stai per aprire non è una foto delle vacanze di un amico, ma la porta d'ingresso per Maverick, un pericolosissimo trojan bancario di nuova generazione. Le minacce informatiche si evolvono, e l'ultima ondata sta colpendo proprio la piattaforma di messaggistica più usata al mondo, sfruttando la fiducia che riponiamo nei nostri contatti.

In questo articolo, ti spieghiamo tutto su Maverick: come funziona, perché è così pericoloso e, soprattutto, come puoi proteggerti.

Maverick è un trojan bancario modulare e "fileless" scoperto in campagne attive a livello globale. Una volta attivo su un PC Windows, può prendere il controllo della macchina:

  • Keylogger: Registra tutto ciò che digiti.

  • Cattura Schermate: Spia le tue attività.

  • Phishing in Sovrimpressione: Apre finte pagine di login sopra a quelle vere.

  • Furto di Credenziali: Intercetta le tue password per banche, exchange di criptovalute e piattaforme di pagamento.

Le sue componenti, scritte in .NET, vengono caricate e eseguite quasi interamente nella memoria RAM, lasciando pochissime tracce sul disco rigido, il che lo rende molto difficile da individuare.

Il meccanismo è un capolavoro di ingegneria sociale e tecnica:

  1. L'Account Compromesso: I criminali ottengono l'accesso a un account WhatsApp (spesso via phishing) o sfruttano una sessione attiva di WhatsApp Web.

  2. Il Messaggio Virale: Da quell'account, inviano messaggi a tutti i contatti. Il testo fa leva su curiosità o urgenza: "Guarda questo", "È questo tu?", "Documento importante per te".

  3. L'Esca Pericolosa: L'allegato è un file ZIP che contiene un file di collegamento Windows (.lnk), camuffato da "visualizza documento" o simili.

  4. L'Infezione: Se aperto sul PC, il file .lnk esegue comandi nascosti che avviano PowerShell. Uno script dannoso scarica e avvia in memoria il trojan Maverick, senza quasi scrivere file sul disco.

  5. La Propagazione "Worm": In alcuni casi, il malware sfrutta le sessioni di WhatsApp Web attive per inviare automaticamente lo stesso file ZIP a tutti i contatti della vittima, auto-propagandosi in modo virale.

⚠️ Blocco Informativo Critico ⚠️

Allerta Sicurezza — Malware via WhatsApp

Ricevi un file ZIP o un collegamento (.lnk) via WhatsApp? Non aprirlo. Verifica sempre con il mittente con un altro canale (es. una telefonata). Se sospetti un'infezione, scollega immediatamente il dispositivo dalla rete (Internet) e contatta un tecnico di assistenza.

Perché Maverick è Particolarmente Pericoloso?

  • Natura "Fileless": Essendo eseguito in memoria, elude molti antivirus tradizionali che scandagliano il disco.

  • Propagazione su Canali Fidati: Sfrutta la fiducia tra contatti. Un file che arriva da un amico abbassa inevitabilmente la guardia.

  • Geofencing Mirato: Il codice verifica lingua, fuso orario e formato della data per attivarsi principalmente su macchine in determinate aree (es. Brasile), rendendo la campagna mirata e meno rilevabile a livello globale.

Chi è a Rischio? Ambienti e Applicazioni Vulnerabili

  • Sistemi Windows: Il vettore d'attacco (.lnk e PowerShell) è tipicamente efficace su desktop e laptop Windows.

  • Browser e Sessioni Web: Maverick monitora attivamente i browser per rubare credenziali da siti bancari e di crypto.

  • WhatsApp Web: La campagna sfrutta le sessioni desktop di WhatsApp per diffondersi rapidamente.

Guida Pratica: Come Proteggersi Subito (Utente Finale)

Ecco una lista di azioni concrete per ridurre drasticamente il rischio:

  1. NON APRIRE MAI ZIP E .LNK da Messaggistica: Anche se provengono da contatti noti. Verifica SEMPRE tramite un altro canale (telefonata, SMS) prima di qualsiasi apertura.

  2. Diffida dei Collegamenti "Apri su PC": Non eseguire mai collegamenti che suggeriscono di essere aperti sul computer senza averne compreso l'origine.

  3. Gestisci WhatsApp Web con Cautela: Disabilita o disconnetti le sessioni di WhatsApp Web quando non le usi.

  4. Mantieni il Sistema Aggiornato: Attiva gli aggiornamenti automatici di Windows e del tuo software antivirus/antimalware.

  5. Usa l'Autenticazione a Due Fattori (2FA): Per conti bancari e crypto, preferisci un'app autenticatore o un token hardware, non solo gli SMS.

  6. Backup Regolari: Esegui copie di sicurezza dei tuoi dati importanti con regolarità.

  7. Non Usare Account Amministrativi per Navigare: Utilizza un account utente standard per le attività quotidiane, riservando quello amministrativo solo alla gestione del sistema.

Approfondimento Tecnico (Per SysAdmin, SOC e Analisti IR)

Questa sezione fornisce dettagli tecnici per la rilevazione e la risposta all'incidente.

Caratteristiche Tecniche Chiave:

  • Catena d'Infezione: .lnk → PowerShell -enc → Download script PowerShell → Reflective loading di DLL .NET in memoria → Iniezione di shellcode e moduli RAT/infostealer.

  • Tecnologie: PowerShell, .NET reflective loading, offuscamento (ArmDot/Donut), automazione via WPPConnect per WhatsApp Web.

  • Target: Numerose banche, exchange crypto e piattaforme di pagamento, con logica di attivazione geolocalizzata.

Indicatori di Compromissione (IoC) e Infrastruttura:

  • Domini C2 osservati: Esempi includono zapgrande[.]com, sorvetenopote[.]com, casadecampoamazonas[.]com.

  • Raccomandazione: Bloccare o monitorare il traffico verso questi domini e importare le liste complete di IoC (disponibili nei report di Kaspersky, Trend Micro, ecc.) nel proprio SIEM/EDR.

Raccomandazioni per Rilevamento e Risposta:

  • EDR/Antivirus: Abilitare il rilevamento comportamentale per reflective loading .NET, iniezione di shellcode e processi PowerShell sospetti (specialmente con parametri -enc o Invoke-Expression).

  • Logging PowerShell: Attivare Script Block Logging e Module Logging (Event ID 4103, 4104) per catturare comandi offuscati.

  • Policy di Esecuzione: Implementare AppLocker o Windows Defender Application Control per limitare l'esecuzione di script e file .lnk da directory non attendibili.

  • Network Security: Bloccare le richieste HTTP verso gli IoC noti e implementare filtraggio DNS con feed di threat intelligence.

  • Containment: Isolare le macchine infette e, prima del riavvio, acquisire un dump della memoria RAM per analisi forense.

Mapping MITRE ATT&CK:

  • T1204.002: User Execution (Malicious File) - Apertura del .lnk.

  • T1059.001: PowerShell - Esecuzione di script dannosi.

  • T1055: Process Injection - Esecuzione in memoria.

  • T1105: Ingress Tool Transfer - Download del payload.

  • T1071.001: Application Layer Protocol (Web) - Comunicazione C2.

Risorse e Letture Consigliate:

  1. Analisi Tecnica Completa di Kaspersky (Securelist): Report dettagliato con IoC e spiegazioni della catena d'infezione.

  2. Report di Trend Micro: Analisi del loader e del comportamento worm-like.

  3. Analisi BlueVoyant: Confronto tra Maverick e la famiglia Coyote, con focus su tecniche di offuscamento.

Condividi questo articolo per aumentare la consapevolezza e proteggere la tua comunità digitale. La sicurezza è un gioco di squadra.

Tags