Maverick infecta PCs via arquivos de atalho

Pesquisadores de segurança identificaram um novo trojan bancário voltado a usuários brasileiros, chamado Maverick. O malware se espalha por meio de arquivos de atalho do Windows e também pelo WhatsApp Web. A Kaspersky informou que bloqueou mais de 62 mil tentativas de ataque apenas em outubro.

De acordo com a empresa, o Maverick apresenta semelhanças com o trojan Coyote, surgido em 2024, sugerindo que possa ser uma evolução ou projeto paralelo dos mesmos grupos de hackers, com novas técnicas de ataque. Entre suas funções, o vírus verifica se a vítima está no Brasil, usando informações como fuso horário, idioma do sistema e formato de data e hora, avançando com a infecção apenas se essas configurações corresponderem.

O malware utiliza scripts em PowerShell para criar uma URL conectada ao servidor de comando dos criminosos. Um segundo script carrega uma DLL .NET, injetando shellcode no processo powershell_ise.exe, monitorando operações bancárias, propagando-se via WhatsApp e mantendo comunicação com servidores dos golpistas.

As mensagens enviadas imitam arquivos legítimos, como comprovantes bancários e orçamentos, com nomes como “COMPROVANTE_20251001_094031.zip” e “ORCAMENTO_114418.zip”. Cada arquivo contém um atalho do Windows que executa o PowerShell, baixando conteúdo de domínios suspeitos. A agressividade do malware leva muitas contas de WhatsApp infectadas a serem banidas do aplicativo por envio excessivo de mensagens.

Segundo a Trend Micro, a maioria dos casos identificados ocorreu no Brasil, com 457 das 477 infecções registradas no país. Especialistas alertam que o Maverick representa risco especialmente para empresas com políticas BYOD, em que funcionários utilizam seus próprios computadores para atividades de trabalho.