SOC Prime Bias: Médio

12 Nov 2025 15:37
newspaper icon CyberProof

Malware Maverick: Relatório Acionável para Equipes SOC

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Malware Maverick: Relatório Acionável para Equipes SOC
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Análise do Trojan Maverick

O trojan Maverick é um malware bancário sofisticado direcionado ao Brasil que utiliza engenharia social através do WhatsApp Web para entregar arquivos ZIP maliciosos contendo atalhos LNK, que acionam carregadores PowerShell e .NET ofuscados para uma cadeia de infecção sem arquivos. O malware verifica se o sistema da vítima está localizado no Brasil (via fuso horário, localidade, verificações de região), em seguida monitora sessões de navegador e tem como alvo uma lista codificada de bancos brasileiros, exchanges de criptomoedas e plataformas de pagamento. Sobreposições de código ligam o Maverick à campanha anterior do Trojan Coyote, mas sua arquitetura e métodos de propagação representam uma evolução. Este relatório equipa equipes SOC com o fluxo de ataque, principais indicadores de comprometimento (IOCs), consultas de detecção, controles de mitigação e diretrizes de simulação necessárias para defender contra o Maverick.

Investigação de Malware Maverick

Pesquisadores observaram que o vetor inicial de infecção do Maverick é um arquivo ZIP entregue via WhatsApp Web, que contém um arquivo LNK malicioso. O LNK executa uma cadeia PowerShell que baixa um carregador inicial de um servidor C2 (por exemplo, sorvetenopote[.]com). O carregador decodifica e executa um assembly .NET inteiramente na memória sem criar arquivos no disco. Um ramo de execução instala um módulo infectante para WhatsApp usando Selenium e WPPConnect para sequestrar sessões de navegador e se propagar. O segundo ramo carrega a carga útil bancária do Maverick (“Maverick.Agent”) que garante que a vítima seja brasileira (fuso horário entre UTC−5 e UTC−2, localidade “pt-BR”), estabelece persistência via um arquivo bat HealthApp-<GUID>.bat na pasta de Inicialização, monitora janelas de navegador em primeiro plano para uma lista comprimida/criptografada de URLs bancários, e quando há uma correspondência, descriptografa um módulo e o executa para realizar roubo de credenciais, keylogging, captura de tela, phishing por sobreposição e comunicação C2. Muitos padrões de reutilização de código e rotinas idênticas de criptografia AES/GZIP ligam o Maverick ao Coyote.

Mitigação de Exploit Maverick

Para defender-se contra o Maverick, as equipes SOC devem impor controles rigorosos e defesas em camadas. Limitar ou bloquear o uso do WhatsApp Web para funcionários com acesso a sistemas sensíveis. Implementar treinamentos de conscientização sobre phishing com foco em anexos ZIP e atalhos de plataformas de mensagens. Aplicar políticas rigorosas de execução de PowerShell (por exemplo, restringir scripts Não Assinados, registrar uso intenso, bloquear padrões IEX DownloadString). Monitorar a criação de arquivos batch incomuns em pastas de inicialização (por exemplo, “HealthApp-*.bat”). Usar soluções de detecção e resposta de endpoint (EDR) capazes de detectar carregamento refletivo .NET e execução de shellcode Donut na memória. Bloquear domínios maliciosos conhecidos e infraestrutura C2, como sorvetenopote[.]com e zapgrande[.]com nas camadas de DNS/firewall. Manter assinaturas de antivírus/EDR atualizadas e feeds de ameaças, e desativar ou monitorar ferramentas de sequestro automático de sessões de navegador.

Como Responder ao Malware Bancário Maverick

Quando uma possível infecção pelo Maverick for detectada, os respondedores de incidentes devem isolar imediatamente o host afetado e iniciar uma investigação forense. Usar consultas de detecção no seu SIEM/EDR para encontrar invocações de PowerShell de DownloadString de domínios suspeitos, execução de .NET refletiva em memória, e subprocessos lançando arquivos de lote de pastas de Inicialização. Quarentenar quaisquer arquivos de lote com o nome “HealthApp-<GUID>.bat” e bloquear domínios e IPs C2 associados. Revisar perfis de navegador para ferramentas de automação não autorizadas, como ChromeDriver ou Selenium. Redefinir credenciais bancárias para quaisquer usuários impactados e impor autenticação multifator (MFA) em todos os acessos a serviços financeiros. Garantir limpeza completa verificando se não há módulos residuais do Maverick. O agente permanece, e conduzir uma varredura completa de malware na rede.

mermaid graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[“<b>Ação</b> – <b>T1659 Injeção de Conteúdo</b><br /><b>Descrição</b>: Arquivos ZIP/LNK maliciosos enviados pelo WhatsApp Web”] class delivery_content_injection action phishing_service[“<b>Ação</b> – <b>T1566.003 Phishing: Spearphishing via Serviço</b><br /><b>Descrição</b>: Uso do WhatsApp como serviço para distribuir carga maliciosa”] class phishing_service action user_execution[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário</b><br /><b>Descrição</b>: Vítima abre atalho, aciona cmd ofuscado”] class user_execution action cmd_tool[“<b>Ferramenta</b> – <b>Nome</b>: cmd.exe”] class cmd_tool tool powershell_interpreter[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br /><b>Descrição</b>: Decodifica carga Base64 e executa comandos”] class powershell_interpreter action powershell_tool[“<b>Ferramenta</b> – <b>Nome</b>: PowerShell”] class powershell_tool tool obfuscation[“<b>Ação</b> – <b>T1027.014 Arquivos ou Informações Ofuscadas</b><br /><b>Descrição</b>: Código polimórfico, divido em tokens, laços FOR aninhados, Base64 e UTF‑16LE”] class obfuscation action location_discovery[“<b>Ação</b> – <b>T1614.001 Descoberta de Localização do Sistema</b><br /><b>Descrição</b>: Verifica idioma/geolocalização e aborta se não for Brasil”] class location_discovery action sandbox_evasion[“<b>Ação</b> – <b>T1497.002 Evasão de Virtualização/Sandbox</b><br /><b>Descrição</b>: Verificações baseadas em atividade do usuário”] class sandbox_evasion action uac_bypass[“<b>Ação</b> – <b>T1548.002 Mecanismo de Controle de Elevação de Abuso: Ignorar Controle de Conta de Usuário</b><br /><b>Descrição</b>: Desativa Microsoft Defender e UAC”] class uac_bypass action persistence_startup[“<b>Ação</b> – <b>T1037.004 Scripts de Inicialização de Boot ou Logon: Scripts RC</b><br /><b>Descrição</b>: Baixa arquivo batch na pasta de Inicialização”] class persistence_startup action batch_file[“<b>Processo</b> – <b>Nome</b>: HealthApp‑.bat”] class batch_file process persistence_startup_item[“<b>Ação</b> – <b>T1037.005 Scripts de Inicialização de Boot ou Logon: Itens de Inicialização</b><br /><b>Descrição</b>: Batch contata C2 periodicamente”] class persistence_startup_item action process_discovery[“<b>Ação</b> – <b>T1057 Descoberta de Processo</b><br /><b>Descrição</b>: Enumera processos de navegador”] class process_discovery action session_hijack[“<b>Ação</b> – <b>T1539 Roubar Cookie de Sessão Web</b> / <b>T1185 Sequestro de Sessão de Navegador</b><br /><b>Descrição</b>: Captura cookies de sites bancários”] class session_hijack action web_c2_bidirectional[“<b>Ação</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br /><b>Descrição</b>: Chamadas de API HTTPS para zapgrande.com”] class web_c2_bidirectional action web_c2_oneway[“<b>Ação</b> – <b>T1102.003 Serviço Web: Comunicação Unidirecional</b><br /><b>Descrição</b>: Recupera cargas adicionais”] class web_c2_oneway action proxy_execution[“<b>Ação</b> – <b>T1216 Execução de Proxy de Script de Sistema</b> e <b>T1218 Execução de Proxy de Binário do Sistema</b><br /><b>Descrição</b>: PowerShell e cmd.exe agem como proxies para rodar script remoto na memória”] class proxy_execution action masquerading[“<b>Ação</b> – <b>T1036.001 Disfarce</b><br /><b>Descrição</b>: Arquivos disfarçados como .lnk, .zip, etc., com assinaturas inválidas”] class masquerading action malware_payload[“<b>Malware</b> – <b>Nome</b>: Carregador PowerShell Ofuscado”] class malware_payload malware %% Operators op_and_location((“AND”)) class op_and_location operator %% Connections delivery_content_injection u002du002d>|entrega| phishing_service phishing_service u002du002d>|leva a| user_execution user_execution u002du002d>|executa| cmd_tool cmd_tool u002du002d>|inicia| powershell_interpreter powershell_interpreter u002du002d>|usa| powershell_tool powershell_tool u002du002d>|executa| obfuscation obfuscation u002du002d>|habilita| location_discovery location_discovery u002du002d>|passa| op_and_location sandbox_evasion u002du002d>|relacionado a| op_and_location op_and_location u002du002d>|permite| uac_bypass uac_bypass u002du002d>|estabelece| persistence_startup persistence_startup u002du002d>|cria| batch_file batch_file u002du002d>|chama| web_c2_bidirectional web_c2_bidirectional u002du002d>|recupera| web_c2_oneway web_c2_oneway u002du002d>|fornece| proxy_execution proxy_execution u002du002d>|executa| malware_payload malware_payload u002du002d>|baixa| persistence_startup_item persistence_startup_item u002du002d>|contata periodicamente| web_c2_bidirectional process_discovery u002du002d>|identifica navegadores para| session_hijack session_hijack u002du002d>|exfiltra via| web_c2_bidirectional proxy_execution u002du002d>|mascarado por| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action

Fluxo de Ataque

Carga Útil do Trojan Maverick

Instruções de Simulação

Pré-requisito: O Check de Pré voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e objetivar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.

  • Narrativa do Ataque & Comandos:

    1. Reconhecimento Inicial (nenhum impacto para a regra, omitido).
    2. Contato C2: O adversário lança um one-liner PowerShell que resolvezapgrande.com e realiza uma solicitação HTTP GET, imitando o beacon do malware. Isso gera um evento Sysmon NetworkConnect comDestinationHostname = zapgrande.com.
    3. Recuperação de Carga: Imediatamente após o GET, o script baixa uma pequena carga executável do mesmo host, armazenada em%TEMP%.

    O atacante usa o nativoInvoke-WebRequest para evitar criar um binário malicioso separado e permanecer “vivendo da terra”.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Script de simulação para contato de domínio C2 do Maverick
# -------------------------------------------------
$maliciousDomains = @("zapgrande.com","sorvetenopote.com")
foreach ($domain in $maliciousDomains) {
    try {
        Write-Host "[*] Contatando host C2: $domain"
        # Resolver DNS (cria logs de consulta DNS)

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente