Advertisement

Responsive Advertisement

Novo malware se espalha pelo WhatsApp para controlar dispositivos

Grupo Mugs outubro 20, 2025

 

Pesquisadores descobriram um novo trojan bancário apelidado “Maverick” (campanha ativa em outubro de 2025) que está sendo distribuído via mensagens do WhatsApp (ZIP contendo atalho .lnk) e que, quando executado em PCs, pode entregar um payload que dá amplo controlo ao atacante e também automatiza o envio da mesma mensagem/malware pelos WhatsApp Web de vítimas já comprometidas. Securelist+1

O que os relatórios dizem (resumo dos pontos-chave)

  • Vetor de distribuição: mensagens no WhatsApp com um arquivo ZIP (frequentemente disfarçado como recibo/ documento) que contém um arquivo LNK malicioso — ao abrir o LNK, começa a cadeia de execução. Pesquisas mostram foco grande no Brasil. Securelist+1
  • Auto-propagação: o malware usa automação (ex.: ferramentas que controlam o WhatsApp Web / ChromeDriver / Selenium) para enviar a mesma mensagem/zip para os contactos da conta comprometida, tornando-o semelhante a um “worm” via WhatsApp Web. Medium+1
  • Funcionalidade: além de se propagar, o componente principal (Maverick) é um trojan bancário que monitora sessões de navegador, procura visitas a sites de bancos/exchanges e pode exfiltrar credenciais — alguns relatórios indicam que o malware permite controle amplo do sistema (persistência, execução remota, alteração de exclusões do antivírus). BlueVoyant+1
  • Técnicas de evasão: campanhas verificam fuso horário/idioma/região para focar vítimas brasileiras e empregam técnicas “fileless”/ofuscação para dificultar detecção. Securelist+1

Como saber se você (ou sua máquina) foi infectado

Sinais comuns:

  • WhatsApp Web enviando mensagens sem você autorizar.
  • Arquivos .zip / .lnk recebidos por contatos suspostos por você (ou propagação rápida para seus contatos).
  • Processos estranhos em Windows (scripts, ChromeDriver/Selenium, PowerShell codificado), alertas de antivírus bloqueados ou desativados.
  • Atividade inesperada no navegador em sites bancários (novas solicitações de autenticação, transações não reconhecidas). Medium+1

O que fazer agora — passos imediatos (ação prática)

  1. Não abra arquivos ZIP / LNK recebidos por WhatsApp, mesmo se vierem de contatos confiáveis sem aviso prévio.
  2. Desconecte sessões do WhatsApp Web: no celular abra WhatsApp → três pontos → “Aparelhos conectados” → desconectar todas as sessões. (faça isso agora se suspeitar).
  3. Desconecte a máquina da rede se já observou atividade estranha e não a use para operações bancárias.
  4. Executar scan com antivírus/EDR atualizado (use ferramentas de fabricantes confiáveis — preferivelmente as que os relatórios citam). Atualize definições e faça scan completo. Sophos News+1
  5. Mude senhas e habilite 2FA nas contas financeiras e no e-mail (preferivelmente a partir de outro dispositivo limpo).
  6. Se houver transações não autorizadas contate imediatamente o banco e registre ocorrência.
  7. Se a máquina estiver claramente comprometida (persistência detectada, exclusões do AV, controle remoto): considere reinstalar o Windows depois de backup de dados limpos; para incidentes corporativos, acione a equipa de resposta a incidentes. PCRisk+1

Conclusão

“Maverick” é real — relatado por múltiplas empresas de segurança e ataca via WhatsApp (especialmente via WhatsApp Web em desktops), com capacidade tanto de roubo de credenciais quanto de propagação automática. Trate mensagens com anexos ZIP/shortcut com muito ceticismo e siga os passos de contenção acima se suspeitar de infecção. Securelist+1

 

Guia passo-apasso específico para verificar e limpar seu computador Windows se você suspeita que foi infectado pela campanha do trojan bancário Maverick (também conhecido como “Maverick Banking Trojan”), + dicas para revogar sessões do WhatsApp Web e fortalecer sua segurança. Use-o com calma — se houver dados muito valiosos ou acessos sensíveis, pode valer chamar um especialista em TI.

1. Verificar sessões do WhatsApp Web & desconectar

  1. No seu celular, abra WhatsApp → toque nos três pontos (menu) → “Aparelhos conectados” (ou “Devices connected”)
  2. Verifique a lista de sessões ativas (ex: “WhatsApp Web – Chrome – Windows”)
  3. Se encontrar alguma sessão que você não reconhece: selecione e toque em “Sair” para desconectar.
  4. Para segurança extra: toque em “Sair de todas as sessões”.
  5. No navegador do computador, feche a aba/ janela do WhatsApp Web e limpe o cache do navegador (histórico, cookies).
  6. Habilite a verificação em duas etapas (2FA) no WhatsApp: vá em Configurações → Conta → Verificação em duas etapas → Ativar.

Essas etapas ajudam a interromper a propagação automática que o malware pode usar via WhatsApp Web. Securelist+2www.trendmicro.com+2

2. Colocar a máquina em modo de contenção

Antes de fazer mudanças profundas, é prudente colocar o dispositivo num estado de contenção para evitar mais dano ou propagação.

  • Desconecte o computador da internet (desative Wi Fi ou desconecte cabo de rede) temporariamente se você suspeita de infecção ativa.
  • Evite usar o computador para operações bancárias enquanto verifica.
  • Se possível, trabalhe com outro dispositivo limpo para alterar senhas e alterar acessos.

3. Verificação com antivírus / antimalware

  1. Atualize seu software antivírus (Windows Defender ou outro confiável).
  2. Realize uma verificação completa (full scan) do sistema — não apenas verificação rápida.
  3. Verifique relatórios recentes para a detecção “Maverick Banking Trojan”, que já aparece em múltiplos fornecedores. Securelist+1
  4. Após o scan, revise os alertas: se forem removidos/quarentenados itens críticos, reinicie o computador.
  5. Após reiniciar, execute outro scan para garantir que não restou nada.

4. Verificações manuais e limpeza adicional

Caso você tenha habilidades ou queira aprofundar, aqui estão passos para investigar manualmente potenciais vestígios.

4.1 Verificar itens de inicialização automática / persistência

  • Use a ferramenta gratuita Autoruns da Microsoft Sysinternals.
    • Baixe de site oficial.
    • No Autoruns: marque “Hide Microsoft entries” (ocultar entradas da Microsoft) para focar itens suspeitos.
    • Verifique abas como “Logon”, “Scheduled Tasks”, “Services”, “Drivers”.
    • Procure por entradas desconhecidas ou nomes estranhos (.bat na Startup, scripts com GUIDs, etc.). PCRisk
  • Se achar entradas suspeitas: anote o nome, localização do arquivo, e desmarque / exclua quando tiver certeza de que se trata de malware.

4.2 Verificar processos e comandos suspeitos

  • Abra o Gerenciador de Tarefas (Task Manager) → aba “Processos” ou “Detalhes”.
  • Procure processos como powershell.exe com linha de comando codificada (Base64) ou cmd.exe iniciando com argumentos estranhos.
  • Verifique se há instâncias de chrome.exe ou msedge.exe acompanhadas de chromedriver.exe, selenium, suspeitos — já relatado no caso Maverick. www.trendmicro.com+1
  • Você também pode usar o console do PowerShell para buscar histórico de comandos, mas requer experiência.

4.3 Verificar arquivos temporários / diretórios suspeitos

  • Verifique C:\Users\<seu-usuário>\AppData\Local\Temp, AppData\Roaming, C:\ProgramData\Startup por arquivos recentes ou com nomes estranhos (.bat, .lnk, .ps1) executados recentemente.
  • Verifique na pasta “Inicializar” (Startup) se existe algo como HealthApp-<GUID>.bat, conforme foi observado no relatório Maverick. Securelist
  • Se encontrar, documente o caminho, mova para quarentena, e exclua com cuidado.

4.4 Verificar logs e conexões de rede

  • Verifique se há conexões de rede ativas para domínios suspeitos relatados (por exemplo, sorvetenopote.com, zapgrande.com) que constam nos relatórios. Securelist+1
  • Abra o Prompt de Comando ou PowerShell como administrador e execute:
  • netstat -anob | findstr /i "ESTABLISHED"

para ver conexões ativas e quais executáveis as mantêm.

  • Investigue se o computador está fazendo tráfego incomum.

5. Alterar senhas e credenciais

  • Imediatamente após confirmar o sistema limpo (ou usando outro dispositivo seguro), altere senhas de bancos, carteiras de cripto, e-mail principal, etc.
  • Ative 2FA (autenticação de dois fatores) em todos os serviços que permitirem — banco, exchange, rede social, WhatsApp, etc.
  • Verifique nas contas bancárias/exchanges por transações não reconhecidas (apesar desse malware focar credenciais, melhor verificar).
  • Revogue sessões ativas e dispositivos conectados nas plataformas onde for possível (muitas permitem “sair de todos os dispositivos”).

6. Reinstalação limpa (se necessário)

Se você detectar que:

  • o malware persistiu mesmo após limpeza, ou
  • há evidências de que o invasor teve acesso remoto completo (controle de mouse/teclado, keylogger, overlays de banco) conforme os relatórios para Maverick. PCRisk+1

… então considere reinstalar o Windows ou restaurar de backup limpo. Antes:

  1. Faça backup dos dados pessoais (mas não dos executáveis ou arquivos .bat, .lnk suspeitos).
  2. Formate a unidade ou use instalação limpa.
  3. Após reinstalar, atualize o sistema, instale os drivers, instale antivírus, realize scan antes de reinstalar outros softwares.
  4. Reinstale apenas aplicações baixadas de fontes confiáveis; evite copiar “programas” antigos ou cracks.

7. Fortalecer sua segurança futura

  • Mantenha o Windows atualizado (patches recentes).
  • Habilite o antivírus em tempo real e mantenha definições atualizadas.
  • Ative verificação de arquivos ZIP/shortcut em e-mail e mensageiros.
  • No WhatsApp: não aceite arquivos ZIP/ .LNK ou instaladores de pessoas, mesmo amigos, sem confirmação.
  • Eduque você e quem usa sua máquina: mensagens urgentes, “abra no computador”, “recibo”, “comprovante” — são iscas típicas relatadas no caso Maverick. www.trendmicro.com
  • Considere usar perfil de usuário com privilégio limitado no Windows para navegação e abrir arquivos, separando de contas de administrador.
  • Faça backup regular de dados importantes para mídia desconectada ou serviço cloud confiável.

8. Referências técnicas / leitura adicional

  • Relatório da Kaspersky: “Maverick: a new banking Trojan abusing WhatsApp in a mass-scale distribution” – detalha cadeia de infecção, execução fileless, etc. Securelist
  • Análise da Trend Micro: “Self-Propagating Malware Spreading Via WhatsApp” – enfoque em automação via WhatsApp Web e proliferação. www.trendmicro.com
  • Guia de remoção da PCrisk: “Maverick Banking Trojan – Removal instructions”. PCRisk
  • FAQ do WhatsApp sobre proteção contra malware. faq.whatsapp.com
Tags
Grupo Mugs

Postado por Grupo Mugs

Postar um comentário

0 Comentários