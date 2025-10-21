Esperti di sicurezza informatica hanno identificato una nuova e sofisticata operazione malware che sta sfruttando la popolarità di WhatsApp per diffondere un pericoloso Trojan bancario.

Battezzato Maverick, il malware ha messo nel mirino utenti in Brasile, con l’obiettivo specifico di colpire conti bancari e wallet di criptovalute.

Crediti: Canva

L’allarme è stato lanciato dagli analisti di Sophos, che hanno rilevato l’emergere di questa minaccia lo scorso 29 settembre 2025. Non si tratta di un attacco convenzionale: Maverick è un malware auto-replicante, dotato di tecniche di evasione avanzate e di una complessa catena di infezione multi-stadio, progettata appositamente per eludere le attuali protezioni di sicurezza.

L’impatto della campagna è stato immediato e significativo. Secondo i dati raccolti da Sophos, l’attacco ha già compromesso oltre 1.000 endpoint distribuiti in più di 400 ambienti di clienti distinti, una chiara dimostrazione dell’efficacia e della vasta portata di questa nuova minaccia informatica.

Il vettore di attacco principale si basa su un’astuta tattica di ingegneria sociale veicolata tramite WhatsApp Web. La vittima riceve un messaggio da un contatto apparentemente fidato, che è stato però precedentemente infettato. Il messaggio contiene un archivio ZIP malevolo.

L’inganno risiede nel testo che accompagna il file: il mittente sostiene che il contenuto allegato (spesso mascherato da documento importante o da una raccolta di foto) possa essere visualizzato “solo su un computer”.

Questa semplice ma efficace leva psicologica spinge la vittima a scaricare ed eseguire il file sul proprio sistema desktop anziché sul dispositivo mobile, aggirando le sandbox di sicurezza degli smartphone e colpendo l’ambiente operativo per cui il malware è stato progettato.

Non solo ingegneria sociale, profonda conoscenza di Windows

Indagando su diversi incidenti in Brasile, i ricercatori di Sophos hanno dissezionato il complesso meccanismo di infezione. Questo approccio tattico, spiegano gli analisti, consente al malware di operare in un ambiente stabile e di attivare appieno le capacità del suo payload.

L’esecuzione inizia con un file LNK (un collegamento di Windows) nascosto all’interno dell’archivio ZIP. Una volta cliccato, il file LNK esegue un comando Windows offuscato, che a sua volta crea ed esegue un comando PowerShell codificato in Base64.

L’analisi di questo script PowerShell ha rivelato dettagli cruciali. I commenti in lingua portoghese incorporati nel codice, analizzati da Sophos, tradiscono l’intenzione dell’autore: “aggiungere un’esclusione in Microsoft Defender” e “disabilitare l’UAC” (Controllo Account Utente).

Queste modifiche creano un ambiente permissivo, consentendo al malware di eseguire operazioni privilegiate senza attivare allarmi di sicurezza e senza richiedere ulteriori interazioni o autorizzazioni da parte dell’utente.

Questo script PowerShell non è che l’inizio. Il suo compito è lanciare segretamente un processo Explorer che contatta i server di comando e controllo (C2) per scaricare il payload di fase successiva.

Gli analisti sottolineano come gli autori della minaccia dimostrino una notevole familiarità con l’architettura di sicurezza di Windows e con le funzionalità di PowerShell, utilizzando metodi di offuscamento avanzati che permettono al malware di operare indisturbato per lunghi periodi.

Crediti: Sophos

La campagna distribuisce due payload distinti, a seconda delle caratteristiche del sistema infettato. Il primo è uno strumento legittimo di automazione del browser, Selenium, insieme al relativo ChromeDriver. La sua funzione è quella di gestire le sessioni del browser attualmente attive.

Questo permette agli aggressori di intercettare la sessione web di WhatsApp della vittima e attivare il processo di auto-propagazione del worm, inviando il file ZIP infetto a tutti i suoi contatti.

Il secondo payload è il vero obiettivo dell’attacco: un Trojan bancario, che è stato appunto nominato “Maverick”. Questo componente è progettato specificamente per rubare credenziali di accesso a istituti bancari (con un focus particolare su quelli brasiliani) e per sottrarre asset da exchange di criptovalute, svuotando i conti delle vittime.

La raccomandazione è sempre la stessa: attenzione ai file che scaricate e, prima di eseguire qualsiasi file, accertatevi di conoscerne l’origine e la sicurezza.