Uma campanha de ciberataques no Brasil ganhou atenção de empresas de segurança globais, com pesquisa feita por Kaspersky, Sophos e CTU. O foco é Maverick, um trojan bancário voltado a instituições financeiras e corretoras de criptomoedas brasileiras. Dados da Kaspersky apontam mais de 62 mil tentativas de infecção bloqueadas em outubro de 2025.
A campanha, que começou em 29 de setembro de 2025, usa o WhatsApp como principal vetor de disseminação. O golpe costuma iniciar com o envio de um arquivo compactado (.zip) por mensagem que parece legítima, normalmente de um contato já comprometido. Ao abrir, o alvo é induzido a executar um atalho (.LNK) malicioso, o primeiro passo da infecção.
Quando acionado, o arquivo inicia uma cadeia de comandos em PowerShell ofuscados, que são baixados de servidores C2 hospedados em domínios como zapgrande[.]com. O processamento desativa defensas locais — como o Microsoft Defender e o UAC — e carrega o código malicioso apenas na memória, dificultando detecção por antivírus.
Segundo a Sophos, já houve atividade associada em mais de 1.000 endpoints de 400 redes corporativas. Arquivos com nomes como ORCAMENTO_XXXX.zip ou COMPROVANTE_20251002_XXXX.zip foram usados para enganar as vítimas. Em alguns ataques, houve a entrega do Selenium, ferramenta de automação de navegadores que pode facilitar o controle de sessões ativas, inclusive do WhatsApp Web.
Com a instalação, o Maverick passa a monitorar o acesso a 26 bancos e 6 corretoras de criptomoedas, pode capturar telas, registrar o que é digitado e até assumir controle total do dispositivo. O malware também tem a capacidade de enviar novas mensagens fraudulentas via WhatsApp Web, aumentando seu potencial de propagação.
Pesquisadores comparam o Maverick a trojan Coyote, também originário do Brasil, compartilhando mecanismos de criptografia AES-256 e estratégias de evasão. A recomendação é simples: desconfiar de arquivos zip recebidos pelo WhatsApp e evitar abrir atalhos (.LNK) de fontes desconhecidas.
