Resumo
O relatório publicado em 11 de novembro de 2025 descreve uma cadeia de infecção iniciada por downloads maliciosos via WhatsApp: arquivos ZIP contendo atalhos (.LNK) que, quando executados, disparam comandos PowerShell fortemente ofuscados. As amostras analisadas revelam semelhanças técnicas e comportamentais que indicam provável compartilhamento de código ou origem comum entre Maverick e Coyote.
Descoberta e escopo
Os incidentes foram detectados por analistas da CyberProof durante investigações de arquivos recebidos via WhatsApp Web. A campanha utiliza arquivos .NET e múltiplas etapas de ataque — o primeiro estágio sendo atalhos que constroem e executam comandos PowerShell por meio de sequências complexas de FOR loops e concatenação de strings para reconstruir nomes executáveis (ex.: reconstrução de "powershell.exe" a partir de fragments).
Abordagem técnica / vetor e exploração
- Vetor inicial: arquivo ZIP enviado por WhatsApp com LNK que aciona PowerShell ofuscado.
- Ofuscação: uso de Base64, codificação UTF-16LE e concatenação para reconstrução de comandos; exemplo de ofuscação exibido com múltiplos FOR loops.
- Download secundário: comando decodificado realiza download de payloads adicionais de domínios controlados pelos atacantes (ex.: zapgrande[.]com / sorvetenopote[.]com no relatório).
- Persistência: criação de batch files na pasta Startup com padrão de nome HealthApp-
.bat. - Detecção geográfica: o agente verifica timezone, locale e formato de data/região; encerra execução se critérios não forem atendidos, limitando operação ao Brasil.
Impacto e alcance
Segundo os pesquisadores, ambas famílias monitoram navegadores (Chrome, Firefox, Edge, Opera, Brave) em busca de conexões com mais de 50 instituições financeiras brasileiras. O relatório documenta que o mesmo esquema de criptografia (AES com GZIP em modo CBC) e rotinas de monitoramento bancário praticamente idênticas estão presentes em amostras de ambas as famílias, sugerindo origem comum ou compartilhamento de bibliotecas.
Mitigações e recomendações
- Evitar execução de arquivos recebidos por mensageiros sem verificação; bloquear download/execução de LNK e arquivos executáveis via políticas de endpoint.
- Aplicar regras de EDR para detectar padrões de reconstrução de comandos (uso extensivo de FOR loops, decodificação Base64/UTF-16LE, execução de powershell.exe -enc).
- Bloquear conexões para domínios conhecidos listados pelo relatório e validar reputação de domínios suspeitos.
- Educar usuários (especialmente equipes financeiras) sobre risco de arquivos ZIP enviados por WhatsApp e procedimentos de validação.
Limites das informações
O relatório técnico da CyberProof fornece exemplos de amostras e domínios, mas as fontes não detalham contagens públicas de vítimas ou impactos financeiros individuais. A atribuição de autoria permanece indeterminada; os sinais usados são compatíveis com compartilhamento de código entre as famílias.
Contexto para o Brasil
Como a campanha contém verificações explícitas de localidade e mira em URLs de instituições brasileiras, as organizações financeiras e seus fornecedores no país devem priorizar investigação de telemetria, detecção de artefatos de LNK/Powershell e revisão de políticas de ingestão de arquivos por mensageria. Em termos regulatórios, incidentes confirmados com comprometimento de dados pessoais podem exigir avaliação sob LGPD e notificação às autoridades, conforme o impacto identificado.