Il Global Research and Analysis Team (GReAT) di Kaspersky ha individuato nuovi dettagli su Maverick, un trojan bancario estremamente sofisticato che colpisce prevalentemente utenti brasiliani. Il malware si propaga tramite file .LNK (collegamenti Windows) distribuiti attraverso WhatsApp e utilizza indirizzi URL scritti in portoghese per rendere più credibili le campagne di diffusione. La struttura del codice mostra chiari punti di contatto con Coyote, un altro trojan bancario brasiliano, ma introduce un elemento inedito: porzioni di codice generate dall’intelligenza artificiale.
Secondo Fabio Assolini, Head of Americas & Europe GReAT di Kaspersky, «Maverick rappresenta una delle minacce più sofisticate mai osservate nel campo dei trojan bancari. Nei soli primi dieci giorni di ottobre, le nostre soluzioni hanno bloccato oltre 62.000 tentativi d’infezione in Brasile».
Un trojan che parla portoghese
La campagna di diffusione di Maverick si concentra quasi esclusivamente sul territorio brasiliano. Il server di comando e controllo (C2) verifica ogni download, accettando solo richieste che provengono effettivamente dal malware stesso. Il trojan analizza inoltre fuso orario, lingua del sistema, regione e formato della data, procedendo all’infezione solo se il dispositivo rispetta i parametri brasiliani.
Questa strategia riduce drasticamente la possibilità che il codice venga eseguito in ambienti di ricerca o in altri Paesi, complicando l’analisi e limitando la visibilità delle attività del gruppo criminale.
Un’infezione complessa e totalmente fileless
La catena d’infezione inizia con un messaggio WhatsApp che invita a scaricare un archivio ZIP contenente un file .LNK. Quando l’utente lo apre, il collegamento lancia PowerShell che scarica e decodifica ulteriori moduli, tutti caricati in memoria senza scrivere file sul disco.
I componenti successivi includono:
- Loader .NET offuscati con funzioni randomizzate e flussi di controllo complessi.
- Shellcode cifrati con Donut, un framework open source che permette di eseguire codice .NET in memoria.
- Un modulo infector per WhatsApp, che sfrutta WPPConnect e Selenium per automatizzare l’invio di nuovi file infetti ai contatti dell’utente compromesso.
In pratica, ogni vittima diventa a sua volta un vettore d’infezione, trasformando Maverick in un trojan con comportamento da worm.
Codice generato dall’intelligenza artificiale
Gli analisti di Kaspersky hanno riscontrato frammenti di codice creati con l’ausilio di AI, in particolare per la decodifica dei certificati e la generazione di routine crittografiche.
Questa caratteristica apre un fronte nuovo nella cybercriminalità: l’uso di modelli di intelligenza artificiale per scrivere porzioni di codice malevolo in modo più rapido, personalizzato e meno riconoscibile dalle difese basate su pattern noti.
Capacità del trojan Maverick
Una volta attivo, Maverick è in grado di assumere il controllo totale del sistema infetto. Le sue funzioni includono:
- Acquisizione di screenshot e monitoraggio dei browser e dei siti visitati.
- Keylogger per registrare le sequenze di tasti.
- Controllo remoto di mouse e tastiera.
- Blocco dello schermo durante l’accesso a siti bancari.
- Iniezione di pagine di phishing in overlay per rubare credenziali.
Il trojan monitora attivamente 26 siti web di banche brasiliane, 6 exchange di criptovalute e una piattaforma di pagamento. Tutte le operazioni vengono eseguite in memoria, con attività su disco minima, utilizzando PowerShell e .NET.
Un’eredità da Coyote, ma un codice nuovo
Nonostante la parentela tecnica con Coyote, Maverick appare come un progetto autonomo, probabilmente sviluppato dagli stessi autori dopo una rifattorizzazione completa del codice.
Il trojan introduce una nuova architettura modulare, un controllo C2 avanzato con autenticazione via API key HMAC256 e canali SSL cifrati che richiedono password specifiche per ogni connessione.
Queste caratteristiche lo rendono più resiliente, più difficile da bloccare e capace di adattarsi a nuove campagne.
Possibile espansione internazionale
Kaspersky avverte che, anche se l’attacco è attualmente limitato al Brasile, non è da escludere un’espansione verso altri Paesi, seguendo lo stesso percorso già visto con i trojan Grandoreiro e Guildma, nati anch’essi in Brasile e poi diffusi in Europa. Il meccanismo di propagazione via WhatsApp — una piattaforma globale — lascia aperta la possibilità che nuove varianti di Maverick possano colpire anche utenti di lingua spagnola o inglese.
Come difendersi
Kaspersky raccomanda alcune misure fondamentali per ridurre il rischio di infezione da trojan bancari come Maverick:
- Non aprire file ZIP o LNK ricevuti via app di messaggistica, anche se provenienti da contatti conosciuti. Gli aggressori spesso sfruttano account compromessi.
- Diffidare dei messaggi urgenti o allarmistici, che spingono a scaricare o visualizzare allegati.
- Usare soluzioni di sicurezza complete che includano la funzione Safe Money, in grado di verificare l’autenticità dei siti bancari e dei sistemi di pagamento.
- Aggiornare regolarmente il software e applicare patch di sicurezza da fonti ufficiali.
- Scaricare software solo da siti verificati, evitando pacchetti aggiuntivi o installer di terze parti.
