A Kaspersky identificou uma campanha de grande escala no Brasil que registrou mais de 62 mil tentativas de infecção pelo trojan Maverick apenas nos primeiros 10 dias de outubro, disseminado via WhatsApp. A ameaça utiliza técnicas sofisticadas de ocultação, execução em memória e automação para se propagar automaticamente pelos contatos da vítima e apresenta indícios de vínculo com o trojan Coyote, de 2024.
O vetor de ataque começa com mensagens no WhatsApp que carregam um arquivo compactado (.zip) contendo um atalho (.LNK) malicioso. Ao abrir, o malware verifica se o sistema está configurado para o Brasil — fuso horário, idioma, região e formato de data/hora — e só prossegue se todas as condições coincidirem com o perfil brasileiro.
A infecção é quase toda em memória: usa PowerShell, .NET e shellcodes criptografados para evitar gravações no disco, o que dificulta a detecção por soluções tradicionais de segurança.
Uma vez ativo, o Maverick monitora o acesso a 26 bancos brasileiros e 6 corretoras de criptomoedas, acionando módulos de roubo de credenciais, captura de tela, keylogger e phishing. O atacante também pode bloquear processos do sistema para manter a persistência.
Um diferencial crítico é a capacidade de usar o WhatsApp da própria vítima para disseminação: ao assumir o WhatsApp Web, o trojan envia mensagens para todos os contatos com anexos infectados ou links falsos, ampliando de forma exponencial seu alcance.
Especialistas apontam semelhanças entre Maverick e o trojan Coyote (identificado em 2024), como o uso de AES-256 para ocultar a lista de alvos e rotinas de criptografia, o que alimenta a hipótese de evolução ou ramificação dos desenvolvedores por trás do Coyote. O analista Anderson Leite, da Kaspersky, descreveu a ameaça como um worm com potencial explosivo de disseminação.
O impacto é ainda maior para organizações: as tentativas de infecção já superam 62 mil apenas no início de outubro no Brasil, com risco de expansão geográfica caso usuários de outras regiões sejam comprometidos. Reforçar defesas em múltiplas camadas, usar EDR/XDR, monitorar comportamentos anômalos e investir em educação de usuários são medidas essenciais para mitigar o risco.
