Maverick, il trojan bancario che sfrutta whatsapp e l’ai per attaccare gli utenti

Il trojan bancario Maverick rappresenta una nuova e avanzata minaccia per la sicurezza informatica, distinguendosi per la sua abilità di sfruttare il popolare servizio di messaggistica Whatsapp come vettore di infezione. Il malware è stato rilevato mentre prendeva di mira principalmente utenti in brasile con campagne di distribuzione su larga scala.

Il processo di attacco inizia quando la vittima riceve un messaggio Whatsapp contenente un file in formato zip. All'interno dell'archivio è nascosto un file di collegamento (lnk) malevolo. Il messaggio allegato invita l'utente ad aprire il file, spesso mascherandolo con l'indicazione che la visualizzazione è consentita "solo su computer" e suggerendo di "mantenere il file" in caso di utilizzo del browser Chrome, poiché si tratta di un file compresso.

Una volta che l'utente esegue il file lnk, si avvia una catena di infezione complessa che coinvolge l'esecuzione di comandi powershell. Questi comandi sono progettati per contattare un server di comando e controllo (c2) e scaricare uno script powershell secondario. La particolarità di Maverick è che l'intero payload viene decodificato e caricato in memoria come un assembly .net, rendendo l'infezione "fileless" (senza file su disco) e più difficile da rilevare per i sistemi di sicurezza tradizionali.

Gli esperti di sicurezza hanno inoltre notato che gli autori del trojan hanno utilizzato l'intelligenza artificiale (ai) per la scrittura di alcune parti del codice malevolo, in particolare per le routine di decrittazione dei certificati e per lo sviluppo generale del codice. Ciò suggerisce una tendenza crescente dei cybercriminali a integrare strumenti di intelligenza artificiale per creare malware più sofisticati e difficili da analizzare.

Maverick, che mostra parallelismi con un precedente trojan chiamato coyote, si concentra sul furto di credenziali bancarie. Gli analisti raccomandano agli utenti di esercitare massima cautela con i file inviati tramite Whatsapp, specialmente se richiedono procedure insolite o provengono da fonti non verificate.