SOC Prime Bias: Mittel

12 Nov 2025 12:37 UTC

Maverick-Malware: Aktionsbericht für SOC-Teams

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Maverick-Malware: Aktionsbericht für SOC-Teams
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Analyse des Maverick-Trojaners

Der Maverick-Trojaner ist eine ausgeklügelte, auf Brasilien ausgerichtete Banking-Malware, die Social Engineering über WhatsApp Web nutzt, um schädliche ZIP-Archive mit LNK-Verknüpfungen zu verbreiten. Diese lösen verschleierte PowerShell- und .NET-Loader für eine file-less Infektionskette aus. Die Malware überprüft, ob sich das Opfersystem in Brasilien befindet (über Zeitzonen-, Sprach- und Regionsüberprüfungen) und überwacht dann Browsersitzungen, wobei sie eine fest kodierte Liste brasilianischer Banken, Kryptobörsen und Zahlungsplattformen ins Visier nimmt. Code-Überlappungen verbinden Maverick mit der früheren Coyote-Trojaner-Kampagne, doch seine Architektur und Verbreitungsmethoden stellen eine Weiterentwicklung dar. Dieser Bericht rüstet SOC-Teams mit dem Angriffsfluss, den wichtigsten Indikatoren für eine Kompromittierung (IOCs), Erkennungsabfragen, Minderungskontrollen und Simulationsanleitungen aus, die für die Verteidigung gegen Maverick benötigt werden.

Maverick-Malware-Untersuchung

Forscher beobachteten, dass Mavericks anfänglicher Infektionsvektor ein über WhatsApp Web geliefertes ZIP-Archiv ist, das eine bösartige LNK-Datei enthält. Die LNK-Datei führt eine PowerShell-Kette aus, die einen anfänglichen Loader von einem C2-Server herunterlädt (z. B. sorvetenopote[.]com). Der Loader dekodiert und führt eine .NET-Assembly vollständig im Speicher aus, ohne Dateien auf die Festplatte abzulegen. Ein Ausführungszweig installiert ein WhatsApp-Infektionsmodul unter Verwendung von Selenium und WPPConnect, um Browsersitzungen zu kapern und sich selbst zu verbreiten. Der zweite Ausführungszweig lädt die Maverick-Banking-Nutzlast („Maverick.Agent“), die sicherstellt, dass das Opfer Brasilianer ist (Zeitzone zwischen UTC−5 und UTC−2, Sprachumgebung „pt-BR“), stellt Persistenz her durch ein HealthApp-<GUID>.bat im Autostart-Ordner, überwacht Browser-Vordergrundfenster auf eine komprimierte/verschlüsselte Liste von Banking-URLs und, wenn eine Übereinstimmung gefunden wird, entschlüsselt ein Modul und führt es aus, um Zugangsdaten zu stehlen, Keylogging, Bildschirmaufnahmen, Phishing-Overlays und C2-Kommunikation durchzuführen. Zahlreiche Code-Wiederverwendungsmuster und identische AES/GZIP-Verschlüsselungsroutinen verbinden Maverick mit Coyote.

Maverick-Exploit-Abwehr

Um sich gegen Maverick zu verteidigen, müssen SOC-Teams strenge Kontrollen und abgestufte Verteidigungen durchsetzen. Beschränken oder blockieren Sie die Nutzung von WhatsApp Web für Mitarbeiter mit Zugang zu sensiblen Systemen. Implementieren Sie Schulungen zur Sensibilisierung für Phishing, die sich auf ZIP-Anhänge und Verknüpfungen von Messaging-Plattformen konzentrieren. Wenden Sie strikte PowerShell-Ausführungsrichtlinien an (z. B. Einschränkung von unsignierten Skripten, Protokollierung der intensiven Nutzung, Blockierung von IEX DownloadString-Mustern). Überwachen Sie die Erstellung ungewöhnlicher Batch-Dateien in Autostart-Ordnern (z. B. „HealthApp-*.bat“). Verwenden Sie Endpoint Detection and Response (EDR)-Lösungen, die in der Lage sind, reflektierendes .NET-Loading und Donut-Shellcode-Ausführung im Speicher zu erkennen. Blockieren Sie bekannte bösartige Domains und C2-Infrastrukturen wie sorvetenopote[.]com und zapgrande[.]com auf DNS-/Firewall-Ebenen. Halten Sie Antiviren-/EDR-Signaturen und Bedrohungsfeeds auf dem neuesten Stand und deaktivieren oder überwachen Sie automatisierte Tools zum Kapern von Browser-Sitzungen.

Wie man auf Maverick Bank Malware reagiert

Wenn eine potenzielle Maverick-Infektion erkannt wird, sollten Vorfallreaktionsteams sofort den betroffenen Host isolieren und eine forensische Untersuchung einleiten. Verwenden Sie Erkennungsabfragen in Ihrem SIEM/EDR, um PowerShell-Aufrufe von DownloadString von verdächtigen Domains, reflektierende .NET-Ausführung im Speicher und Subprozesse, die Batch-Dateien aus Autostart-Ordnern starten, zu finden. Isolieren Sie alle Batch-Dateien mit dem Namen „HealthApp-<GUID>.bat“ und blockieren Sie zugehörige C2-Domains und IPs. Überprüfen Sie Browser-Profile auf unbefugte Automatisierungstools wie ChromeDriver oder Selenium. Setzen Sie die Banking-Zugangsdaten für betroffene Benutzer zurück und erzwingen Sie Mehrfaktor-Authentifizierung (MFA) für den Zugriff auf alle Finanzdienstleistungen. Stellen Sie sicher, dass keine Restmodule von Maverick verbleiben, und führen Sie einen vollständigen Malware-Scan im Netzwerk durch.

Angriffsfluss

Maverick-Trojaner Payload

Simulationsanleitungen

Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung und Befehle:

    1. Erste Erkundung (keine Operation für die Regel, ausgelassen).
    2. C2-Kontakt: Der Gegner startet einen PowerShell-Einzeiler, der zapgrande.com auflöst und eine HTTP-GET-Anfrage durchführt, die das Beacon der Malware nachahmt. Dies erzeugt ein Sysmon NetworkConnect-Ereignis mit DestinationHostname = zapgrande.com.
    3. Payload-Abruf: Unmittelbar nach dem GET lädt das Skript eine kleine ausführbare Nutzlast vom selben Host herunter, die in %TEMP%.

    gespeichert ist. Der Angreifer verwendet nativen Invoke-WebRequest, um die Erstellung eines separaten bösartigen Binaries zu vermeiden und „living-off-the-land“ zu bleiben.

  • Regressionstestskript:

    # -------------------------------------------------
    # Simulationsskript für Maverick-C2-Domain-Kontakt
    # -------------------------------------------------
    $maliciousDomains = @("zapgrande.com","sorvetenopote.com")
    foreach ($domain in $maliciousDomains) {
        try {
            Write-Host "[*] Kontakt zum C2-Host: $domain herstellen"
            # DNS auflösen (erstellt DNS-Anfragen-Protokolle)