Новый банковский троян Maverick распространяется через WhatsApp Web

Екатерина Быстрова 12 Ноября 2025 - 09:00

...

Новый банковский троян Maverick распространяется через WhatsApp Web

Исследователи из CyberProof обнаружили новый банковский зловред под названием Maverick, активно распространяющийся через WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России). Эксперты уже отметили его сходство с другим трояном — Coyote.

По данным CyberProof, вредонос прячется в ZIP-архиве, который распространяется через WhatsApp.

Внутри — ярлык Windows (LNK), который при запуске подгружает PowerShell-скрипт с внешнего сервера zapgrande[.]com. Этот скрипт отключает Microsoft Defender, запускает загрузчик .NET и проверяет системный язык, часовой пояс и регион. Только после этого Maverick устанавливается и начинает работу.

Задачи у него вполне типичные для банковских троянов: следить за активными вкладками браузера, перехватывать обращения к сайтам банков и показывать поддельные страницы для кражи данных.

Интересный момент — исследователи заметили, что зловред теперь атакует не только банки, но и гостиницы в Бразилии, что может указывать на расширение целей кампании.

По данным Trend Micro, за атакой стоит группировка Water Saci. Их схема работает в два этапа: сначала подключается самораспространяющийся компонент SORVEPOTEL, который управляет заражением через веб-версию WhatsApp, а затем уже загружается основной троян Maverick.

В новой версии Water Saci отказались от .NET в пользу VBScript и PowerShell. Скрипты скачивают ChromeDriver и Selenium, чтобы автоматизировать браузер и получить доступ к WhatsApp Web без участия пользователя — даже без повторного сканирования QR-кода.

Далее вредонос рассылает архивы всем контактам заражённого пользователя, маскируясь под «WhatsApp Automation v6.0». Он также обращается к серверу управления, получает шаблоны сообщений и имена контактов, чтобы делать рассылку максимально персонализированной.

Команда Trend Micro отмечает, что злоумышленники внедрили полноценный C2-механизм, который позволяет в реальном времени останавливать, возобновлять и контролировать рассылку. Более того, команды поступают не через обычный HTTP, а через IMAP-доступ к почтовым ящикам terra.com[.]br — с MFA, чтобы самим же хакерам не взломали их C2.

Возможности Maverick впечатляют: сбор информации о системе, выполнение команд через CMD и PowerShell, снятие скриншотов, работа с файлами, перезагрузка и выключение устройства, обновление самого себя — и даже поиск новых адресов серверов в письмах злоумышленников.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 08:45

Уязвимости программ Утечки информации Случайные утечки Домашние пользователи

Имея только номер: как WhatsApp выдаёт активность и устройства пользователя

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) снова оказался в центре внимания исследователей, на этот раз из-за утечек метаданных, которые позволяют узнать о пользователе больше, чем хотелось бы. Как выяснил сооснователь и CTO Zengo Таль Беэри, имея только номер телефона, посторонний может определить, когда человек бывает онлайн, а в некоторых случаях даже выяснить, какими устройствами он пользуется.

Своё исследование Беэри представит на Black Hat Asia 2026. Суть проблемы не в том, что WhatsApp раскрывает содержимое переписки, с этим у мессенджера, по словам разработчиков, по-прежнему всё жёстко благодаря сквозному шифрованию.

Здесь, кстати, Паша Дуров не согласится. Напомним, основатель Telegram недавно назвал шифрование WhatsApp крупнейшим обманом пользователей.

Тем не мене побочным эффектом архитектуры мессенджера оказались именно метаданные. По данным Dark Reading, исследователь показал, как с помощью самодельного инструмента, работающего через протокол WhatsApp Web, можно незаметно отслеживать активность пользователя. Например, отправлять особые «тихие» сигналы, которые не отображаются на устройстве жертвы, но позволяют понять, находится ли человек онлайн.

Такие «незаметные пинги» сами по себе не выглядят чем-то катастрофическим, но на практике могут дать злоумышленнику полезные сведения. По сути, можно постепенно собрать цифровой распорядок дня жертвы: когда она спит, когда работает, в какое время с большей вероятностью откликнется на фишинговое сообщение. В теории этот же механизм можно использовать и для медленного расхода батареи устройства.

Есть и ещё один нюанс. Когда кто-то инициирует новый чат, WhatsApp в служебном обмене передаёт данные, необходимые для сквозного шифрования на всех устройствах пользователя. Из-за особенностей этих идентификаторов можно сделать вывод, на каких платформах человек использует мессенджер — например, на iPhone, Android или десктопе. Причём для этого, как утверждает исследователь, достаточно просто добавить номер в контакты, не уведомляя владельца.

Сам по себе такой слив метаданных может показаться мелочью, но, по мнению Беэри, он полезен и мошенникам, и более серьёзным киберпреступникам. Одним он даёт дополнительную информацию для фишинга и социальной инженерии, другим — помогает точнее готовить атаки под конкретную ОС и устройство.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!