IT-Forscher warnen: Trojaner Maverick verbreitet sich über WhatsApp Web via ZIP-Archiv, tauscht Banking-Seiten aus und attackiert das Gastgewerbe weltweit.
© E. Vartanyan
IT-Sicherheitsforscher verfolgen eine neue Angriffswelle: Ein als Maverick bekannter Trojaner verbreitet sich über ZIP-Archive, die über WhatsApp Web an Kontakte verschickt werden. Im Archiv steckt eine Verknüpfung, die ein Skript startet; dieses setzt eine Kette von Komponenten in Gang, verschleiert die Vorgänge und installiert die Schadsoftware. Forschende beschreiben ein mehrstufiges Vorgehen: Zunächst werden integrierte Schutzmechanismen ausgeschaltet, anschließend ein Loader gestartet und die Regionseinstellungen geprüft, bevor das Kernmodul aktiv wird. Die Abfolge wirkt bewusst komponiert und lässt eine Kampagne erkennen, die Tarnung mindestens so hoch bewertet wie Reichweite.
Maverick kann aktive Browser-Tabs überwachen, Seiten gegen Oberflächen von Banken und anderen Diensten austauschen, Bildschirmaufnahmen anfertigen und auf Anweisung der Betreiber beliebige Befehle ausführen. Fachleute sehen zudem eine erweiterte Zielauswahl: Neben Finanzinstituten rückt in Brasilien inzwischen auch das Gastgewerbe in den Fokus. Analysten schreiben den Vorstoß einer versierten Gruppe zu, die ihre Steuerungs- und Verteilwerkzeuge deutlich aufgerüstet hat. Das wirkt weniger wie ein einmaliger Test und eher wie der Versuch, die Angriffsflächen gezielt zu streuen.
Kennzeichnend für die aktuelle Welle ist ein zentrales Steuerungsmodell, das es den Angreifern erlaubt, Versandaktionen zu koordinieren und Malware-Updates mit bemerkenswerter Flexibilität auszurollen. Unternehmen wie Privatnutzer sollten Anhänge mit Bedacht öffnen, Sicherheitsupdates eingeschaltet lassen und auf etablierte Antivirenlösungen setzen. Am Ende bleibt konsequente Routine die einfachste Methode, Taktiken zu neutralisieren, die gezielt alltägliche Gewohnheiten ausnutzen.