SOC Prime Bias: Mittel

12 Nov. 2025 15:37
newspaper icon CyberProof

Maverick-Malware: Aktionsbericht für SOC-Teams

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Maverick-Malware: Aktionsbericht für SOC-Teams
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Analyse des Maverick-Trojaners

Der Maverick-Trojaner ist eine ausgeklügelte, auf Brasilien ausgerichtete Banking-Malware, die Social Engineering über WhatsApp Web nutzt, um schädliche ZIP-Archive mit LNK-Verknüpfungen zu verbreiten. Diese lösen verschleierte PowerShell- und .NET-Loader für eine file-less Infektionskette aus. Die Malware überprüft, ob sich das Opfersystem in Brasilien befindet (über Zeitzonen-, Sprach- und Regionsüberprüfungen) und überwacht dann Browsersitzungen, wobei sie eine fest kodierte Liste brasilianischer Banken, Kryptobörsen und Zahlungsplattformen ins Visier nimmt. Code-Überlappungen verbinden Maverick mit der früheren Coyote-Trojaner-Kampagne, doch seine Architektur und Verbreitungsmethoden stellen eine Weiterentwicklung dar. Dieser Bericht rüstet SOC-Teams mit dem Angriffsfluss, den wichtigsten Indikatoren für eine Kompromittierung (IOCs), Erkennungsabfragen, Minderungskontrollen und Simulationsanleitungen aus, die für die Verteidigung gegen Maverick benötigt werden.

Maverick-Malware-Untersuchung

Forscher beobachteten, dass Mavericks anfänglicher Infektionsvektor ein über WhatsApp Web geliefertes ZIP-Archiv ist, das eine bösartige LNK-Datei enthält. Die LNK-Datei führt eine PowerShell-Kette aus, die einen anfänglichen Loader von einem C2-Server herunterlädt (z. B. sorvetenopote[.]com). Der Loader dekodiert und führt eine .NET-Assembly vollständig im Speicher aus, ohne Dateien auf die Festplatte abzulegen. Ein Ausführungszweig installiert ein WhatsApp-Infektionsmodul unter Verwendung von Selenium und WPPConnect, um Browsersitzungen zu kapern und sich selbst zu verbreiten. Der zweite Ausführungszweig lädt die Maverick-Banking-Nutzlast („Maverick.Agent“), die sicherstellt, dass das Opfer Brasilianer ist (Zeitzone zwischen UTC−5 und UTC−2, Sprachumgebung „pt-BR“), stellt Persistenz her durch ein HealthApp-<GUID>.bat im Autostart-Ordner, überwacht Browser-Vordergrundfenster auf eine komprimierte/verschlüsselte Liste von Banking-URLs und, wenn eine Übereinstimmung gefunden wird, entschlüsselt ein Modul und führt es aus, um Zugangsdaten zu stehlen, Keylogging, Bildschirmaufnahmen, Phishing-Overlays und C2-Kommunikation durchzuführen. Zahlreiche Code-Wiederverwendungsmuster und identische AES/GZIP-Verschlüsselungsroutinen verbinden Maverick mit Coyote.

Maverick-Exploit-Abwehr

Um sich gegen Maverick zu verteidigen, müssen SOC-Teams strenge Kontrollen und abgestufte Verteidigungen durchsetzen. Beschränken oder blockieren Sie die Nutzung von WhatsApp Web für Mitarbeiter mit Zugang zu sensiblen Systemen. Implementieren Sie Schulungen zur Sensibilisierung für Phishing, die sich auf ZIP-Anhänge und Verknüpfungen von Messaging-Plattformen konzentrieren. Wenden Sie strikte PowerShell-Ausführungsrichtlinien an (z. B. Einschränkung von unsignierten Skripten, Protokollierung der intensiven Nutzung, Blockierung von IEX DownloadString-Mustern). Überwachen Sie die Erstellung ungewöhnlicher Batch-Dateien in Autostart-Ordnern (z. B. „HealthApp-*.bat“). Verwenden Sie Endpoint Detection and Response (EDR)-Lösungen, die in der Lage sind, reflektierendes .NET-Loading und Donut-Shellcode-Ausführung im Speicher zu erkennen. Blockieren Sie bekannte bösartige Domains und C2-Infrastrukturen wie sorvetenopote[.]com und zapgrande[.]com auf DNS-/Firewall-Ebenen. Halten Sie Antiviren-/EDR-Signaturen und Bedrohungsfeeds auf dem neuesten Stand und deaktivieren oder überwachen Sie automatisierte Tools zum Kapern von Browser-Sitzungen.

Wie man auf Maverick Bank Malware reagiert

Wenn eine potenzielle Maverick-Infektion erkannt wird, sollten Vorfallreaktionsteams sofort den betroffenen Host isolieren und eine forensische Untersuchung einleiten. Verwenden Sie Erkennungsabfragen in Ihrem SIEM/EDR, um PowerShell-Aufrufe von DownloadString von verdächtigen Domains, reflektierende .NET-Ausführung im Speicher und Subprozesse, die Batch-Dateien aus Autostart-Ordnern starten, zu finden. Isolieren Sie alle Batch-Dateien mit dem Namen „HealthApp-<GUID>.bat“ und blockieren Sie zugehörige C2-Domains und IPs. Überprüfen Sie Browser-Profile auf unbefugte Automatisierungstools wie ChromeDriver oder Selenium. Setzen Sie die Banking-Zugangsdaten für betroffene Benutzer zurück und erzwingen Sie Mehrfaktor-Authentifizierung (MFA) für den Zugriff auf alle Finanzdienstleistungen. Stellen Sie sicher, dass keine Restmodule von Maverick verbleiben, und führen Sie einen vollständigen Malware-Scan im Netzwerk durch.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[„<b>Action</b> – <b>T1659 Content Injection</b><br /><b>Beschreibung</b>: Bösartige ZIP-/LNK-Dateien werden über WhatsApp Web versendet“] class delivery_content_injection action phishing_service[„<b>Action</b> – <b>T1566.003 Phishing: Spearphishing über einen Dienst</b><br /><b>Beschreibung</b>: Nutzung von WhatsApp als Dienst zur Verteilung schädlicher Nutzlasten“] class phishing_service action user_execution[„<b>Action</b> – <b>T1204.002 User Execution</b><br /><b>Beschreibung</b>: Das Opfer öffnet die Verknüpfung und löst einen verschleierten cmd-Befehl aus“] class user_execution action cmd_tool[„<b>Tool</b> – <b>Name</b>: cmd.exe“] class cmd_tool tool powershell_interpreter[„<b>Action</b> – <b>T1059.001 PowerShell</b><br /><b>Beschreibung</b>: Dekodiert die Base64-Nutzlast und führt Befehle aus“] class powershell_interpreter action powershell_tool[„<b>Tool</b> – <b>Name</b>: PowerShell“] class powershell_tool tool obfuscation[„<b>Action</b> – <b>T1027.014 Verschleierte Dateien oder Informationen</b><br /><b>Beschreibung</b>: Polymorpher Code, geteilte Tokens, verschachtelte FOR-Schleifen, Base64 und UTF-16LE“] class obfuscation action location_discovery[„<b>Action</b> – <b>T1614.001 Systemstandort-Erkennung</b><br /><b>Beschreibung</b>: Prüft Sprache/Geolokalisierung und bricht ab, wenn nicht Brasilien“] class location_discovery action sandbox_evasion[„<b>Action</b> – <b>T1497.002 Virtualisierungs-/Sandbox-Umgehung</b><br /><b>Beschreibung</b>: Prüfungen basierend auf Benutzeraktivität“] class sandbox_evasion action uac_bypass[„<b>Action</b> – <b>T1548.002 Missbrauch von Mechanismen zur Rechteerhöhung: Umgehung der Benutzerkontensteuerung</b><br /><b>Beschreibung</b>: Deaktiviert Microsoft Defender und UAC“] class uac_bypass action persistence_startup[„<b>Action</b> – <b>T1037.004 Boot- oder Anmelde-Initialisierungsskripte: RC-Skripte</b><br /><b>Beschreibung</b>: Legt eine Batch-Datei im Autostart-Ordner ab“] class persistence_startup action batch_file[„<b>Process</b> – <b>Name</b>: HealthApp-.bat“] class batch_file process persistence_startup_item[„<b>Action</b> – <b>T1037.005 Boot- oder Anmelde-Initialisierungsskripte: Autostart-Elemente</b><br /><b>Beschreibung</b>: Batch-Datei kontaktiert periodisch den C2-Server“] class persistence_startup_item action process_discovery[„<b>Action</b> – <b>T1057 Prozess-Erkennung</b><br /><b>Beschreibung</b>: Enumeriert Browser-Prozesse“] class process_discovery action session_hijack[„<b>Action</b> – <b>T1539 Diebstahl von Web-Sitzungs-Cookies</b> / <b>T1185 Browser-Sitzungsübernahme</b><br /><b>Beschreibung</b>: Erfasst Cookies von Banking-Websites“] class session_hijack action web_c2_bidirectional[„<b>Action</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br /><b>Beschreibung</b>: HTTPS-API-Aufrufe an zapgrande.com“] class web_c2_bidirectional action web_c2_oneway[„<b>Action</b> – <b>T1102.003 Webdienst: Einwegkommunikation</b><br /><b>Beschreibung</b>: Ruft zusätzliche Nutzlasten ab“] class web_c2_oneway action proxy_execution[„<b>Action</b> – <b>T1216 System Script Proxy Execution</b> und <b>T1218 System Binary Proxy Execution</b><br /><b>Beschreibung</b>: PowerShell und cmd.exe fungieren als Proxys zur speicherresidenten Ausführung eines entfernten Skripts“] class proxy_execution action masquerading[„<b>Action</b> – <b>T1036.001 Tarnung</b><br /><b>Beschreibung</b>: Dateien sind als .lnk, .zip usw. getarnt und besitzen ungültige Signaturen“] class masquerading action malware_payload[„<b>Malware</b> – <b>Name</b>: Verschleierter PowerShell-Loader“] class malware_payload malware %% Operators op_and_location((„UND“)) class op_and_location operator %% Connections delivery_content_injection –>|liefert| phishing_service phishing_service –>|führt zu| user_execution user_execution –>|führt aus| cmd_tool cmd_tool –>|startet| powershell_interpreter powershell_interpreter –>|nutzt| powershell_tool powershell_tool –>|führt aus| obfuscation obfuscation –>|ermöglicht| location_discovery location_discovery –>|besteht| op_and_location sandbox_evasion –>|steht in Beziehung zu| op_and_location op_and_location –>|erlaubt| uac_bypass uac_bypass –>|etabliert| persistence_startup persistence_startup –>|erstellt| batch_file batch_file –>|kontaktiert| web_c2_bidirectional web_c2_bidirectional –>|ruft ab| web_c2_oneway web_c2_oneway –>|liefert| proxy_execution proxy_execution –>|führt aus| malware_payload malware_payload –>|legt ab| persistence_startup_item persistence_startup_item –>|kontaktiert periodisch| web_c2_bidirectional process_discovery –>|identifiziert Browser für| session_hijack session_hijack –>|exfiltriert über| web_c2_bidirectional proxy_execution –>|verschleiert durch| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action

Angriffsfluss

Maverick-Trojaner Payload

Simulationsanleitungen

Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung und Befehle:

    1. Erste Erkundung (keine Operation für die Regel, ausgelassen).
    2. C2-Kontakt: Der Gegner startet einen PowerShell-Einzeiler, der zapgrande.com auflöst und eine HTTP-GET-Anfrage durchführt, die das Beacon der Malware nachahmt. Dies erzeugt ein Sysmon NetworkConnect-Ereignis mit DestinationHostname = zapgrande.com.
    3. Payload-Abruf: Unmittelbar nach dem GET lädt das Skript eine kleine ausführbare Nutzlast vom selben Host herunter, die in %TEMP%.

    gespeichert ist. Der Angreifer verwendet nativen Invoke-WebRequest, um die Erstellung eines separaten bösartigen Binaries zu vermeiden und „living-off-the-land“ zu bleiben.

  • Regressionstestskript:

    # -------------------------------------------------
# Simulationsskript für Maverick-C2-Domain-Kontakt
# -------------------------------------------------
$maliciousDomains = @("zapgrande.com","sorvetenopote.com")
foreach ($domain in $maliciousDomains) {
    try {
        Write-Host "[*] Kontakt zum C2-Host: $domain herstellen"
        # DNS auflösen (erstellt DNS-Anfragen-Protokolle)

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten