Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto nuovi dettagli su Maverick, il trojan bancario recentemente scoperto che colpisce soprattutto gli utenti in Brasile. Il malware si diffonde tramite file LNK dannosi (“shortcut”) distribuiti tramite WhatsApp e utilizza indirizzi URL scritti in portoghese. Il trojan ha notevoli somiglianze nel codice con “Coyote”, un altro trojan bancario brasiliano, e sfrutta la generazione di codice assistita dall’intelligenza artificiale, in particolare per la decodifica dei certificati e lo sviluppo del codice in generale.
Caratteristiche di “Maverick”
Recentemente in Brasile è stata individuata una grande campagna di diffusione di questi file LNK dannosi tramite WhatsApp. Per aggirare i controlli, il server di comando e controllo (C2) verifica ogni download per assicurarsi che sia originato dal malware, limitando le infezioni alle sole vittime brasiliane.
Trojan bancari brasiliani diffusi in tutto il mondo nel 2025. Il Brasile è in testa alla classifica.
Il trojan bancario Maverick può assumere il controllo totale di un computer infetto: acquisire screenshot, monitorare i browser aperti e i siti visitati, installare keylogger, controllare il mouse, bloccare lo schermo quando si accede a un sito bancario, terminare i processi e visualizzare pagine di phishing tramite overlay, il tutto con lo scopo di sottrarre le credenziali bancarie. Una volta attivato, il trojan monitora l’attività delle vittime su 26 siti web di banche brasiliane, sei exchange di criptovalute e una piattaforma per pagamenti. Le infezioni sono modulari e vengono eseguite interamente in memoria con una minima attività del disco, sfruttando PowerShell e .NET, insieme a shellcode generato e crittografato utilizzando Donut.
Codici generati dall’intelligenza artificiale di Maverick
I consigli di Kaspersky
Per ridurre i rischi causati dai trojan bancari come “Maverick”, Kaspersky consiglia di:
- Prestare attenzione quando si aprono o si scaricano file ricevuti tramite app di messaggistica istantanea, anche se provengono da contatti conosciuti, poiché i loro account potrebbero essere stati compromessi. I messaggi urgenti o che mettono pressione sono una tattica comune utilizzata dai cybercriminali per far agire gli utenti rapidamente.
- Implementare una soluzione di protezione digitale completa che integra la funzione Safe Money per proteggere le transazioni finanziarie: questa funzione verifica l’autenticità dei sistemi di pagamento online e dei siti web bancari conosciuti.
- Aggiornare il software installato sul computer.
- Prestare attenzione durante l’applicazione degli aggiornamenti.
- Scaricare software solo da fonti ufficiali ed evitare pacchetti aggiuntivi opzionali.
Dichiarazioni
“Maverick rappresenta una delle minacce più sofisticate che abbiamo mai incontrato nell’ambito dei trojan bancari”, ha commentato Fabio Assolini, Head of Americas & Europe GReAT di Kaspersky. “Ha già colpito un gran numero di utenti in Brasile e le sue funzioni simili a quelle di un worm gli consentono di diffondersi rapidamente tramite le piattaforme di messaggistica istantanea più diffuse. L’impatto è notevole: nei primi 10 giorni di ottobre, le nostre soluzioni hanno bloccato oltre 62.000 tentativi di eseguire il file LNK dannoso in Brasile. Sebbene attualmente il rischio maggiore riguardi gli utenti brasiliani, esiste la reale preoccupazione che, come per altre famiglie di trojan bancari quali Grandoreiro e Guildma, Maverick possa eventualmente espandersi a livello internazionale”.
