Brezilya’da Maverick adında gelişmiş bir bankacılık Truva Atı ortaya çıktı ve binlerce kullanıcının güvenliğini tehlikeye atmak için WhatsApp’ı birincil dağıtım kanalı olarak kullandı.
Kötü amaçlı yazılım kampanyası Ekim 2025’in ortasında tespit edildi ve siber güvenlik çözümleri ayın yalnızca ilk on gününde 62.000’den fazla enfeksiyon girişimini engelledi.
Tehdit, WhatsApp’ın güvenlik filtrelerini atlayan kötü amaçlı ZIP arşivleri içeren Portekizce mesajlar yoluyla özellikle Brezilyalı kullanıcıları hedef alıyor.
Bulaşma mekanizması, kurbanların WhatsApp üzerinden genellikle banka bildirimleri veya önemli belgeler kılığında meşru görünen bir mesaj almasıyla başlıyor.
Bu mesajlar, saldırı zincirini başlatan, silah haline getirilmiş bir .LNK dosyasını barındıran sıkıştırılmış ZIP dosyalarını içerir. Kötü amaçlı yazılım bir kez açıldığında cmd aracılığıyla karmaşık bir dizi komutu çalıştırır.[.]exe ve PowerShell, ek yükleri indirmek için dikkatle doğrulanmış kimlik doğrulama protokolleriyle komut ve kontrol sunucularıyla iletişim kurar.
Bulaşma sürecinin tamamı tamamen dosyasız bir şekilde çalışır; bu, tüm kötü amaçlı bileşenlerin, dosyaları diske yazmadan doğrudan belleğe yüklendiği anlamına gelir, bu da algılama çabalarını önemli ölçüde karmaşıklaştırır.
Securelist araştırmacıları, kötü amaçlı yazılımın, 2024’te belgelenen bir başka Brezilya bankacılık Truva Atı olan Coyote ile önemli kod benzerlikleri paylaştığını tespit etti; ancak Maverick, farklı ve daha gelişmiş bir tehdidi temsil ediyor.
Araştırmacılar, kötü amaçlı yazılımın kod yazma sürecinde, özellikle de sertifika şifre çözme mekanizmaları ve genel geliştirme iş akışları için yapay zeka kullandığını belirtti.
Bu, tehdit aktörlerinin yeteneklerini geliştirmek ve geleneksel güvenlik önlemlerinden kaçınmak için yapay zeka araçlarından yararlandığı kötü amaçlı yazılım geliştirme tekniklerinde endişe verici bir evrimi temsil ediyor.
.webp)
Bankacılık Truva Atı, etkinleştirmeden önce kurbanın saat dilimini, sistem dilini, bölge ayarlarını ve Brezilya konumunu doğrulamak için tarih formatlarını doğrulayarak coğrafi hedefleme uyguluyor.
Bu kontroller başarısız olursa, kötü amaçlı yazılım yürütmeyi sonlandırarak diğer ülkelerdeki araştırmacıların analiz yapmasını engelliyor.
Onaylandıktan sonra Maverick, 26 Brezilya finans kurumundan, altı kripto para birimi borsasından ve bir ödeme platformundan bankacılık kimlik bilgilerini çalmak için tasarlanmış ekran görüntüsü yakalama, tarayıcı izleme, tuş günlüğü tutma, fare kontrolü ve yer paylaşımlı kimlik avı sayfaları dahil olmak üzere kapsamlı gözetim yeteneklerini devreye alıyor.
Ele Geçirilmiş WhatsApp Hesapları Yoluyla Yayılma
Belki de Maverick’in en endişe verici yönü, virüslü cihazları dağıtım düğümlerine dönüştüren kendi kendine yayılma mekanizmasıdır.
Kötü amaçlı yazılım, ele geçirilen hesapları ele geçirmek ve kurbanın kişi listesine otomatik olarak kötü amaçlı mesajlar göndermek için açık kaynaklı bir WhatsApp Web otomasyon projesi olan WPPConnect’i kullanıyor.
Bu solucan benzeri davranış, dünyanın en popüler mesajlaşma platformlarından biri aracılığıyla üstel yayılma potansiyeli yaratıyor.
Komuta ve kontrol altyapısı, çoklu doğrulama katmanları aracılığıyla gelişmiş operasyonel güvenlik sağlar.
C2 sunucusu, “MaverickZapBot2025SecretKey12345” anahtarıyla HMAC-256 imzalarını kullanarak her isteğin kimliğini doğrular ve bağlantıların güvenlik araçlarından ziyade kötü amaçlı yazılımın kendisinden kaynaklandığından emin olmak için Kullanıcı Aracısı başlıklarını doğrular.
API uç noktaları, şifre çözme anahtarlarının indirilen ikili dosyaların son baytlarında saklandığı XOR şifrelemesini kullanan, Donut yükleyicilerle sarılmış şifrelenmiş kabuk kodlarını kullanır.
Şifre çözme algoritması, anahtar boyutunu belirten son dört baytı çıkarır, şifreleme anahtarını bulmak için dosyada geriye doğru yürür ve tüm veri yüküne XOR işlemlerini uygular.
Bu karmaşık şifreleme şeması, Kontrol Akışı Düzleştirme tekniklerini kullanan ağır kod gizlemeyle birleştiğinde, tersine mühendislik çabalarını önemli ölçüde engeller.
# Decryption Process
$keySize = [BitConverter]::ToInt32($binary[-4..-1], 0)
$keyStart = $binary.Length - 4 - $keySize
$xorKey = $binary[$keyStart..($keyStart + $keySize - 1)]Kaspersky güvenlik ürünleri, HEUR:Trojan.Multi.Powenot.a ve HEUR:Trojan-Banker.MSIL.Maverick.gen kararlarıyla tehdidi algılar ve sonraki tüm bulaşma aşamaları boyunca ilk LNK dosyasından koruma sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
