Descoberta e panorama
Pesquisadores que analisaram amostras e um relatório da CyberProof identificaram semelhanças técnicas entre uma variante conhecida como Coyote e um código recém-divulgado chamado Maverick. Ambas as famílias, segundo as fontes, são escritas em .NET e têm foco em vítimas brasileiras, com funcionalidade direcionada a URLs bancárias e monitoramento de aplicações financeiras.
Vetor e comportamento observado
O relato aponta que o malware tem sido propagado por mensagens no WhatsApp. As amostras documentadas apresentam funcionalidades para interceptar ou manipular sessões de navegação — o título da cobertura indica que há capacidade de "hijack" de sessões do navegador — além de rotinas para detectar e interagir com aplicações bancárias. As fontes não detalham mecanismos de persistência nem lista completa de comandos.
Abordagem técnica
- Plataforma de implementação: .NET (conforme o relatório citado).
- Alvo primário: URLs e aplicações bancárias usadas por clientes no Brasil.
- Vetores de propagação reportados: mensagens via WhatsApp.
O relatório de comparação com Coyote sugere similaridade funcional nas rotinas de decriptação/decodificação e nos métodos de identificação de páginas e aplicações bancárias, mas as fontes não publicam o código-fonte nem regras YARA completas no texto disponível.
Impacto e alcance
As publicações relatam que as campanhas têm o Brasil como alvo e mencionam bancos de grande porte no título da notícia. No entanto, as fontes não apresentam números de vítimas, listas de instituições afetadas nem indicadores de comprometimento (IOCs) reproduzidos no corpo do texto. Não há, portanto, base pública para estimar a escala da infecção a partir do material citado.
Mitigações e recomendações
Considerando o vetor por mensageria (WhatsApp) e o foco em sessões bancárias, medidas imediatas razoáveis — em linha com boas práticas citadas em relatórios semelhantes — incluem:
- não clicar em links recebidos por mensagens de contatos desconhecidos ou em URLs encurtados;
- manter sistemas e navegadores atualizados e usar bloqueadores de scripts/isolamento de navegador quando possível;
- adotar autenticação multifator (MFA) para acesso a contas bancárias;
- monitorar transações e alertas em contas corporativas e pessoais;
- para equipes de SOC/IR: coletar amostras, indicadores de rede e comportamentais e comparar com assinaturas de Coyote/Maverick divulgadas por fornecedores e serviços de threat intelligence.
As fontes citadas enfatizam a identificação da similaridade técnica, mas não descrevem procedimentos de remediação específicos fornecidos por um fabricante ou CERT no texto disponível.
Limites das informações
O material público resumido nas fontes não especifica CVEs, não inclui hashes, domínios ou fingerprints detalhados, e não traz confirmação oficial de instituições financeiras sobre incidentes. As informações vêm de um relatório de empresa de threat intelligence e da cobertura jornalística que resume esses achados; as fontes não detalham vetores adicionais, cronologia completa das infecções ou medidas aplicadas pelas vítimas.
Repercussão e próximos passos
Para equipes de segurança no Brasil, o caso reforça a necessidade de controles sobre canais de mensageria e de fortalecer detecção de comportamento anômalo em navegadores e aplicações financeiras. Como as fontes não trazem lista de IOCs, recomenda-se acompanhar publicações subsequentes da CyberProof, alertas de CERTs locais e assinaturas de fornecedores de endpoint/antimalware para ações de contenção e hunting.
Fonte: The Hacker News (reportando análise da CyberProof). As fontes não fornecem contagem de vítimas nem confirmações por bancos afetados.