Malware Maverick: Rapporto Azionabile per i Team SOC

Analisi del Trojan Maverick

Il trojan Maverick è un sofisticato malware bancario rivolto al Brasile che sfrutta l’ingegneria sociale tramite WhatsApp Web per consegnare archivi ZIP dannosi contenenti scorciatoie LNK, che attivano loader PowerShell e .NET offuscati per una catena di infezione senza file. Il malware verifica che il sistema della vittima si trovi in Brasile (tramite verifiche di fuso orario, locale e regione), quindi monitora le sessioni del browser e prende di mira un elenco codificato di banche brasiliane, exchange di criptovalute e piattaforme di pagamento. Sovrapposizioni di codice collegano Maverick alla precedente campagna Trojan Coyote, eppure la sua architettura e i metodi di propagazione rappresentano un’evoluzione. Questo rapporto fornisce ai team SOC il flusso dell’attacco, i principali indicatori di compromissione (IOC), query di rilevamento, controlli di mitigazione e linee guida di simulazione necessari per difendersi da Maverick.

Indagine sul Malware Maverick

I ricercatori hanno osservato che il vettore di infezione iniziale di Maverick è un archivio ZIP consegnato via WhatsApp Web, che contiene un file LNK dannoso. L’LNK esegue una catena PowerShell che scarica un loader iniziale da un server C2 (ad esempio, sorvetenopote[.]com). Il loader decodifica ed esegue un’assembly .NET interamente in memoria senza scrivere file su disco. Un ramo di esecuzione installa un modulo infettore per WhatsApp usando Selenium e WPPConnect per dirottare le sessioni del browser e propagarsi. Il secondo ramo carica il payload bancario Maverick (“Maverick.Agent”) che assicura che la vittima sia brasiliana (fuso orario tra UTC-5 e UTC-2, locale “pt-BR”), stabilisce la persistenza tramite un HealthApp-<GUID>.bat nella cartella di avvio, monitora le finestre in primo piano del browser per un elenco compresso/crittografato di URL bancari, e quando si verifica una corrispondenza, decrittografa un modulo ed esegue il furto di credenziali, il keylogging, la cattura di schermate, il phishing tramite overlay e la comunicazione C2. Numerosi schemi di riutilizzo del codice e routine crittografiche AES/GZIP identiche collegano Maverick a Coyote.

Mitigazione degli Exploit Maverick

Per difendersi da Maverick, i team SOC devono imporre controlli rigorosi e difese stratificate. Limitare o bloccare l’uso di WhatsApp Web per i dipendenti con accesso a sistemi sensibili. Implementare formazione sulla consapevolezza del phishing concentrandosi sugli allegati ZIP e sui collegamenti ipertestuali dalle piattaforme di messaggistica. Applicare politiche di esecuzione PowerShell restrittive (ad es., limitare script non firmati, registrare l’uso intensivo, bloccare i modelli IEX DownloadString). Monitorare la creazione di file batch insoliti nelle cartelle di avvio (ad es., “HealthApp-*.bat”). Utilizzare soluzioni di rilevamento e risposta degli endpoint (EDR) in grado di rilevare il caricamento riflessivo .NET e l’esecuzione del codice shell Donut in memoria. Bloccare domini malevoli noti e infrastrutture C2 come sorvetenopote[.]com e zapgrande[.]com ai livelli DNS/firewall. Mantenere aggiornati le firme antivirus/EDR e i feed di minacce, e disabilitare o monitorare gli strumenti di dirottamento automatico delle sessioni del browser.

Come rispondere al malware bancario Maverick

Quando viene rilevata una potenziale infezione da Maverick, gli intervenienti sugli incidenti dovrebbero immediatamente isolare l’host interessato e avviare un’indagine forense. Utilizzare query di rilevamento nel tuo SIEM/EDR per trovare invocazioni PowerShell di DownloadString da domini sospetti, esecuzione in memoria riflessiva .NET e sottoprocessi che lanciano file batch dalle cartelle di Avvio. Mettere in quarantena eventuali file batch denominati “HealthApp-<GUID>.bat” e bloccare i domini e gli IP C2 associati. Rivedere i profili del browser per strumenti di automazione non autorizzati come ChromeDriver o Selenium. Resettare le credenziali bancarie per qualsiasi utente interessato ed imporre l’autenticazione a più fattori (MFA) su tutti gli accessi ai servizi finanziari. Assicurati una pulizia approfondita verificando che non rimangano moduli residuali da Maverick. L’agente resta, e condurre una scansione completa del malware sulla rete.

Payload del Trojan Maverick

Istruzioni di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e puntano a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

• Narrativa e Comandi dell’Attacco:

  1. Riconoscimento Iniziale (un no-op per la regola, omesso).
  2. Contatto C2: L’avversario lancia un one-liner PowerShell che risolve zapgrande.com ed esegue una richiesta HTTP GET, imitando il segnale del malware. Questo genera un evento Sysmon NetworkConnect con DestinationHostname = zapgrande.com.
  3. Recupero del Payload: Immediatamente dopo il GET, lo script scarica un piccolo payload eseguibile dallo stesso host, archiviato in %TEMP%.

  L’attaccante utilizza nativo Invoke-WebRequest per evitare di creare un binario malevolo separato e restare “living-off-the-land”.

• Script di Test di Regressione:

  # -------------------------------------------------
  # Script di simulazione per il contatto di dominio C2 di Maverick
  # -------------------------------------------------
  $maliciousDomains = @("zapgrande.com","sorvetenopote.com")
  foreach ($domain in $maliciousDomains) {
      try {
          Write-Host "[*] Contattando il host C2: $domain"
          # Risolvi DNS (crea log di query DNS)