Des analystes spécialisés dans la lutte contre les menaces ont découvert des similitudes entre un logiciel malveillant bancaire appelé Coyote et un programme malveillant récemment divulgué, baptisé Maverick, qui a été propagé via WhatsApp.

D’après un rapport de CyberProof, ces deux souches de logiciels malveillants sont écrites en .NET, ciblent les utilisateurs et les banques brésiliennes, et présentent des fonctionnalités identiques permettant de déchiffrer et de cibler les URL bancaires, ainsi que de surveiller les applications bancaires. Plus important encore, elles sont toutes deux capables de se propager via WhatsApp Web .

Le malware Maverick a été initialement documenté par Trend Micro au début du mois dernier, qui l’a attribué à un acteur malveillant se faisant appeler Water Saci . La campagne comporte deux volets : un malware auto-réplicatif nommé SORVEPOTEL, diffusé via la version web de WhatsApp et utilisé pour distribuer une archive ZIP contenant la charge utile Maverick.

Ce logiciel malveillant est conçu pour surveiller les onglets actifs des navigateurs afin de détecter les URL correspondant à une liste prédéfinie d’établissements financiers d’Amérique latine. Si une correspondance est trouvée, il établit une connexion avec un serveur distant pour exécuter des commandes permettant de collecter des informations système et d’afficher des pages d’hameçonnage afin de dérober des identifiants.

Dans un rapport ultérieur , la société de cybersécurité Sophos a été la première à évoquer la possibilité que cette activité soit liée à des campagnes antérieures ayant diffusé le virus Coyote et ciblé des utilisateurs au Brésil, et à se demander si Maverick ne serait pas une évolution de Coyote. Une autre analyse de Kaspersky a révélé que Maverick présentait effectivement de nombreuses similitudes de code avec Coyote, mais précise qu’elle le considère comme une menace totalement nouvelle visant massivement le Brésil.

Les dernières analyses de CyberProof révèlent que le fichier ZIP contient un raccourci Windows (LNK) qui, lorsqu’il est lancé par l’utilisateur, exécute cmd.exe ou PowerShell pour se connecter à un serveur externe (« zapgrande[.]com ») afin de télécharger la charge utile de première étape. Le script PowerShell est capable de lancer des outils intermédiaires conçus pour désactiver Microsoft Defender Antivirus et le Contrôle de compte d’utilisateur (UAC), ainsi que pour récupérer un chargeur .NET.

Le programme d’installation, quant à lui, intègre des techniques anti-analyse pour détecter la présence d’outils de rétro-ingénierie et s’autodétruire le cas échéant. Il télécharge ensuite les modules principaux de l’attaque : SORVEPOTEL et Maverick. Il est important de noter que Maverick n’est installé qu’après vérification de la localisation de la victime au Brésil, effectuée en contrôlant le fuseau horaire, la langue, la région, ainsi que le format de date et d’heure de l’hôte infecté.

CyberProof a également indiqué avoir trouvé des preuves que le logiciel malveillant était utilisé pour cibler des hôtels au Brésil, ce qui laisse présager une possible extension du ciblage.

Cette révélation intervient alors que Trend Micro détaille la nouvelle chaîne d’attaque de Water Saci qui utilise une infrastructure de commande et de contrôle (C2) basée sur le courrier électronique, s’appuie sur une persistance multivectorielle pour la résilience et intègre plusieurs contrôles avancés pour échapper à la détection, améliorer la furtivité opérationnelle et limiter l’exécution aux seuls systèmes en langue portugaise.

« La nouvelle chaîne d’attaque comprend également un système de commande et de contrôle à distance sophistiqué qui permet aux acteurs malveillants une gestion en temps réel, notamment la mise en pause, la reprise et la surveillance de la campagne du logiciel malveillant, transformant ainsi les machines infectées en un outil de botnet pour des opérations coordonnées et dynamiques sur plusieurs points de terminaison », a déclaré la société de cybersécurité dans un rapport publié à la fin du mois dernier.

Nouvelle chaîne d’attaques de Saci observée

La séquence d’infection délaisse les binaires .NET au profit de Visual Basic Script (VB Script) et de PowerShell pour détourner les sessions de navigateur WhatsApp et diffuser le fichier ZIP via l’application de messagerie. À l’instar de la chaîne d’attaque précédente, le détournement de WhatsApp Web est réalisé par le téléchargement de ChromeDriver et de Selenium pour l’automatisation du navigateur.

L’attaque est déclenchée lorsqu’un utilisateur télécharge et extrait l’archive ZIP, qui contient un téléchargeur VBS obfusqué (« Orcamento.vbs » alias SORVEPOTEL), lequel, à son tour, émet une commande PowerShell pour télécharger et exécuter un script PowerShell (« tadeu.ps1 ») directement en mémoire.

Ce script PowerShell permet de prendre le contrôle de la session WhatsApp Web de la victime et de distribuer des fichiers ZIP malveillants à tous les contacts associés à son compte, tout en affichant une bannière trompeuse intitulée « WhatsApp Automation v6.0 » afin de dissimuler ses intentions malveillantes. De plus, le script contacte un serveur de commande et de contrôle (C2) pour récupérer des modèles de messages et exfiltrer les listes de contacts.

« Après avoir mis fin à tous les processus Chrome en cours et effacé les anciennes sessions pour garantir un fonctionnement optimal, le logiciel malveillant copie les données légitimes du profil Chrome de la victime dans son espace de travail temporaire », a déclaré Trend Micro. « Ces données comprennent les cookies, les jetons d’authentification et la session de navigation enregistrée. »

Chronologie de la campagne Water Saci

« Cette technique permet au logiciel malveillant de contourner entièrement l’authentification de WhatsApp Web, obtenant ainsi un accès immédiat au compte WhatsApp de la victime sans déclencher d’alertes de sécurité ni nécessiter la lecture d’un code QR. »

L’entreprise de cybersécurité a ajouté que le logiciel malveillant met également en œuvre un mécanisme de contrôle à distance sophistiqué qui permet à l’adversaire de mettre en pause, de reprendre et de surveiller la propagation de WhatsApp en temps réel, le transformant ainsi en un logiciel malveillant capable de contrôler les hôtes compromis comme un bot.

Quant à la manière dont il distribue concrètement l’archive ZIP, le code PowerShell parcourt chaque contact collecté et vérifie la présence d’une commande de pause avant d’envoyer des messages personnalisés en remplaçant les variables du modèle de message par des salutations basées sur le temps et les noms des contacts.

Un autre aspect important de SORVEPOTEL est qu’il utilise des connexions IMAP aux comptes de messagerie terra.com[.]br, grâce à des identifiants de messagerie intégrés, pour se connecter et récupérer les commandes, au lieu d’utiliser une communication HTTP traditionnelle. Certains de ces comptes sont sécurisés par une authentification multifacteurs (MFA) afin d’empêcher tout accès non autorisé.

Cette couche de sécurité supplémentaire aurait introduit des délais opérationnels, car chaque connexion exige que l’attaquant saisisse manuellement un code d’authentification unique pour accéder à la boîte de réception et enregistrer l’URL du serveur C2 utilisé pour envoyer les commandes. La porte dérobée interroge ensuite périodiquement le serveur C2 pour récupérer l’instruction. La liste des commandes prises en charge est la suivante :

• INFO, pour recueillir des informations système détaillées
• CMD, pour exécuter une commande via cmd.exe et exporter les résultats de l’exécution vers un fichier temporaire
• POWERSHELL, pour exécuter une commande PowerShell
• CAPTURE D’ÉCRAN, pour prendre des captures d’écran
• LISTE DE TÂCHES, pour énumérer tous les processus en cours d’exécution
• KILL, pour mettre fin à un processus spécifique
• LIST_FILES, pour énumérer les fichiers/dossiers
• TÉLÉCHARGER_FICHIER, pour télécharger des fichiers depuis le système infecté
• UPLOAD_FILE, pour transférer des fichiers vers le système infecté
• SUPPRIMER, pour supprimer des fichiers/dossiers spécifiques
• RENOMMER, pour renommer les fichiers/dossiers
• COPIER, pour copier des fichiers/dossiers
• DÉPLACER, pour déplacer des fichiers/dossiers
• FILE_INFO, pour obtenir des métadonnées détaillées sur un fichier
• RECHERCHER, pour rechercher de manière récursive les fichiers correspondant aux modèles spécifiés
• CREATE_FOLDER, pour créer des dossiers
• REDÉMARRER, pour lancer un redémarrage du système avec un délai de 30 secondes
• ARRÊT, pour déclencher un arrêt du système avec un délai de 30 secondes
• MISE À JOUR, pour télécharger et installer une version mise à jour d’elle-même
• CHECK_EMAIL, pour vérifier la présence de nouvelles URL C2 dans la boîte mail contrôlée par l’attaquant.

L’ampleur de cette campagne s’explique par la popularité de WhatsApp au Brésil, qui compte plus de 148 millions d’utilisateurs actifs , ce qui en fait le deuxième marché mondial après l’Inde.

« Les méthodes d’infection et l’évolution tactique en cours, ainsi que le ciblage régional, indiquent que Water Saci est probablement lié à Coyote, et que les deux campagnes opèrent au sein du même écosystème cybercriminel brésilien », a déclaré Trend Micro, décrivant les attaquants comme agressifs en « quantité et en qualité ».

« Lier la campagne Water Saci à Coyote révèle un tableau plus large qui met en évidence un changement significatif dans les méthodes de propagation du cheval de Troie bancaire. Les acteurs malveillants sont passés de l’utilisation de charges utiles traditionnelles à l’exploitation de profils de navigateurs légitimes et de plateformes de messagerie pour des attaques furtives et à grande échelle. »