Source:https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html
🛡 概要
ブラジルの金融機関を狙うバンキング系マルウェア「Maverick」が、WhatsApp Webを悪用して自己拡散し、被害端末のブラウザセッションを乗っ取る手口が確認されています。拡散・初期侵入を担う自動拡散型マルウェア「SORVEPOTEL」と組み合わせ、.NETローダーやPowerShell/VBScriptを用いて多段で侵入・実行します。Trend Microは本件を「Water Saci」アクターに帰属し、CyberProofとKasperskyは既知の「Coyote」とのコード重複を指摘しつつ、独立した新たな脅威として扱っています。金融機関に加えブラジル国内のホテルも狙われた痕跡があり、標的の拡大が示唆されます。CVSS: 該当情報なし(キャンペーン依存)。
🔍 技術詳細
主な侵入経路はWhatsApp Web経由で配布されるZIP添付です。ZIP内のWindowsショートカット(.lnk)をユーザが開くと、cmd.exeやPowerShellが起動し、外部ホスト「zapgrande[.]com」に接続して第1段階ペイロードを取得します。 PowerShellはMicrosoft Defender AntivirusやUACの無効化を試み、中間ツールを起動して.NETローダーを取得・実行します。ローダーはリバースエンジニアリングツールの存在を検知すると自己終了する対解析機能を持ち、その後、主要モジュールである「SORVEPOTEL」と「Maverick」を取得します。Maverickは被害端末のタイムゾーン・言語・地域・日付形式を確認し、ブラジル環境でのみ本体をインストールする地域制限を実装しています。
別系統の最新チェーンでは、.NET実行体を避け、難読化されたVBScript(「Orcamento.vbs」= SORVEPOTEL)がPowerShellをメモリ上で実行(「tadeu.ps1」)します。このPowerShellはChromeDriverとSeleniumをダウンロードしてブラウザを自動操作し、被害者の正規Chromeプロファイル(Cookie/認証トークン/保存セッション)を一時領域に複製することでWhatsApp Webの認証を迂回、QRコード再認証なしで即時にアカウントへアクセスします。その後、連絡先一覧を取得し、C2から受け取ったメッセージテンプレートに基づき、時刻に応じた挨拶や宛名を差し込んでZIPを一斉送信します。表示上は「”WhatsApp Automation v6.0″」と偽装バナーを出して活動を隠蔽します。
指揮管制(C2)はHTTP/HTTPSに加え、IMAPでterra.com[.]brのメールアカウントに接続してコマンドを受領する方式を採用し、MFAが有効なケースでは攻撃者が都度ワンタイムコードを入力する運用も観測されています。実装コマンドは、システム情報収集(INFO)、任意コマンド実行(CMD/POWERSHELL)、スクリーンショット取得、プロセス列挙・終了、ファイル列挙・検索・転送・削除・名前変更・コピー・移動、フォルダ作成、再起動・シャットダウンなど多岐にわたります。Maverick本体はブラウザのアクティブタブURLを監視し、ラテンアメリカの金融機関のURLと一致するとC2に問い合わせてフィッシングページを提示し、資格情報窃取を狙います。遠隔で拡散の一時停止・再開・進捗監視が可能で、感染端末をボット的に制御する機能も報告されています。
⚠ 影響
・オンラインバンキング認証情報の窃取と不正送金/口座乗っ取り
・顧客や取引先への二次拡散(信頼関係を悪用したマルウェア拡散)
・業務停止、ブランド毀損、規制当局対応(不正アクセス・個人情報漏えい)コスト増大
・ホテル等ホスピタリティ産業への拡大による横断的被害(予約・決済情報の悪用)
🛠 対策
・エンドポイント制御:WDAC/AppLockerでPowerShell/VBScript/Chromedriverの実行を許可制へ。PowerShellはConstrained Language ModeとAMSIを強制、DefenderのTamper Protection/UAC厳格化。ASR「VBScript/JavaScriptによるダウンロード実行のブロック」「Office/子プロセス生成のブロック」等を有効化。LNKのゾーン識別子(Mark-of-the-Web)での実行ブロックを適用。
・ネットワーク制御:chromedriver配布元や不審なストレージ/短縮URLへのアクセス制限、IMAPの不要な外向き通信を遮断。HTTPS検査の方針に沿ってC2通信のSNI/JA3/ドメインベース検知を実施。
・SaaS/業務ポリシー:業務端末でのWhatsApp Web利用は容認範囲を明確化(分離ブラウザ/VDI/モバイル限定など)。
・ユーザ教育:メッセージ経由のZIP/LNK実行禁止、正規連絡先からでも検証を徹底。バンキング画面に違和感がある場合は直打ちURLで再アクセス。
・インシデント対応:被疑端末はネットワーク隔離、資格情報リセット、ブラウザプロファイルの完全再作成、連絡先への注意喚起。
📌 SOC視点
・プロセス監視:explorer.exe→cmd.exe/powershell.exe→Invoke-WebRequest/Start-BitsTransfer、wscript.exe/cscript.exe→powershell.exeのチェーン。ChromeDriver/Selenium実行の新規出現を検知。
・ファイル/レジストリ:ダウンロード直後の.lnk起動、%TEMP%配下へのプロファイル複製。UAC関連(EnableLUA/ConsentPromptBehaviorAdmin)変更試行の監視。
・Defenderイベント:設定変更(Microsoft-Windows-Windows Defender/Operational, Event ID 5007等)の検知。
・PowerShellログ:Script Block Logging(4104)、Module Logging(4103)、ローカル実行ポリシー回避やBase64/FromBase64String、IEX/DownloadString等の出現。
・Sysmon:Event ID 1(プロセス作成)、3(ネットワーク接続)、11(ファイル作成)、13(レジストリ変更)。
・ネットワークIoC:zapgrande[.]comへのHTTP(S)、terra.com[.]brへのIMAP接続。User-Agent/JA3の異常、短時間で多数の送信先へ同一メッセージ送信のパターン。
・アーティファクト:ファイル名「Orcamento.vbs」「tadeu.ps1」、表示文字列「WhatsApp Automation v6.0」、ChromeDriver/Selenium関連バイナリの配置。
📈 MITRE ATT&CK
・初期アクセス:T1566.003 Spearphishing via Service(WhatsApp WebでZIPを配布)
・ユーザ実行:T1204.002 Malicious File(LNK実行)
・実行:T1059.001 PowerShell、T1059.005 Visual Basic(VBScript)
・防御回避:T1562.001 Impair Defenses(Defender無効化)、T1548.002 Bypass UAC(UAC設定改変)
・発見:T1082 System Information Discovery、T1614.001 System Language Discovery(言語/タイムゾーン判定)
・資格情報/セッション:T1539 Steal Web Session Cookie(Chromeプロファイル複製によるWhatsAppセッション乗っ取り)
・収集:T1113 Screen Capture(SCREENSHOTコマンド)
・C2:T1071.001 Web Protocols、T1071.003 Mail Protocols(IMAP)、T1105 Ingress Tool Transfer(段階的ダウンロード)
・流出:T1041 Exfiltration Over C2 Channel(連絡先等の送信)
🏢 組織規模別助言
・小規模(〜50名):WhatsApp Webの業務端末利用を原則禁止。無償でもPowerShellログを有効化し、EDRが未導入でもSysmon+Defenderで基本監視を整備。銀行取引用端末を分離。
・中規模(50〜500名):WDAC/AppLockerでスクリプト制御、ASR強化。プロキシ/DNSフィルタでドライバ配布サイトや不審ドメインを制限。SOARで隔離・資格情報リセットを半自動化。
・大規模(500名超):ブラウザ分離やSaaSゲートウェイで個人メッセージングをセグメント。集中管理でPowerShell CLM/AMSIを強制、脅威ハンティング用にSigma/behaviorルールを継続改善。レッド/パープルチームでWhatsApp拡散シナリオの演習を実施。
🔎 類似事例
・Coyote(ブラジル向けバンキングマルウェア)
・Grandoreiro、Mekotio(ラテンアメリカ系バンキングトロジャン)
・Guildma/Astaroth(メッセージング/メールを悪用した金融詐欺連鎖)
🧭 次の一手
・直ちにIoCブロック(zapgrande[.]com、terra.com[.]brへのIMAP外向き)とハンティング(4104/4688/Sysmon 1/3/11、ChromeDriver検知)を実施。
・WhatsApp Web運用ポリシーの見直し(分離・許可制)。
・ASR/WDAC/AppLockerの試験適用→段階的本番展開。
・次の参考:PowerShell防御強化チェックリスト、ラテアメリカ系バンキングマルウェア比較、EDRでのメッセージング悪用検知ガイド。
