Maverick nutzt WhatsApp als Einstiegsweg

Von Eric Litowsky, Sales Director BlueVoyant

Forensik-Teams von BlueVoyant haben in Brasilien einen neuen, technisch hochentwickelten Banking-Trojaner entdeckt: Maverick . Er knüpft an frühere Varianten wie Coyote an – übertrifft sie aber in Technik, Tarnung und Professionalität. Besonders brisant: Maverick nutzt WhatsApp als Einstiegsweg und lädt seine Schadsoftware modular und in mehreren Stufen nach. Das macht ihn schwerer zu erkennen und noch schwieriger zu entfernen.

Der Angriff beginnt typischerweise mit einer ZIP-Datei, die das Ziel per WhatsApp erhält. Darin versteckt sich eine vermeintliche Verknüpfung (.lnk), die beim Öffnen automatisch eine PowerShell-Routine startet. Diese lädt ein .NET-basiertes Installationsprogramm (den „Stage-1-Downloader“), das anschließend weitere Schadmodule aus dem Internet nachlädt. Diese gestaffelte Download-Strategie verschleiert die eigentliche Malware und erschwert Analyse und Abwehr erheblich.

Die Untersuchungen von BlueVoyant haben gezeigt, dass Maverick aus zwei zentralen Modulen besteht, die über den Installer aktiviert werden:

• Ein Self-Spread-Modul, das sich über WhatsApp weiterverbreitet
• Ein Banking-Modul, das gezielt Finanzdaten und -transaktionen angreift

Zwar erinnert der Aufbau an den älteren Trojaner Coyote, doch das BlueVoyant-Team konnte klar erkennen, dass die Angreifer den Schadcode massiv weiterentwickelt haben:

• Der Installer wurde komplett neu aufgebaut und in mehrere Schritte aufgeteilt.
• Der Code ist deutlich stärker verschleiert, um Analysen zu erschweren.
• Die Module basieren jetzt auf einer neuen .NET-Struktur und werden dynamisch nachgeladen.
• Die Kampagne nutzt zahlreiche neu registrierte Domains, die ausschließlich zur Bereitstellung von Installern, Modulen und Konfigurationsdateien dienen. Viele dieser Domains wurden extrem schnell nach ihrer Registrierung aktiv geschaltet – ein deutliches Zeichen für Professionalität.

Was Banken jetzt tun sollten

Um verdächtige Aktivitäten früh zu erkennen und Maverick-Angriffe zu stoppen, empfehlen die BlueVoyant-Experten unter anderem:

• Klare BYOD- und Messaging-Richtlinien: Mitarbeitende müssen wissen, dass unerwartete ZIP-Dateien – selbst von bekannten WhatsApp-Kontakten – ein Risiko darstellen.
• Ausführung von .lnk-Dateien beschränken, insbesondere aus Messaging-Apps; PowerShell sollte geschützt und überwacht sein.
• Auf verschleierte BAT-Dateien, ungewöhnliche Registrierungseinträge oder ungewöhnliche Persistenzmechanismen achten.
• EDR-Lösungen nutzen, die In-Memory-.NET-Hostings und Shellcode-Injections erkennen können.
• Netzwerkverkehr überwachen und Verbindungen zu bekannten bösartigen Domains blockieren; außerdem auf abweichende oder ungewöhnliche HTTP-Header achten.

BlueVoyant wird die laufende Kampagne weiterhin genau verfolgen. Da die Angreifer ihre Infrastruktur und die Authentifizierungsmechanismen der Loader regelmäßig ändern, ist es entscheidend, die Erkennung von Taktiken, Techniken und Verfahren (TTPs) kontinuierlich aktuell zu halten. Banken – nicht nur in Brasilien – sollten diese Hinweise berücksichtigen und zeitnah in ihre Sicherheitsarchitektur integrieren.