A Maverick trójai WhatsApp Weben küldött ZIP-archívumokkal terjed: védelmek kikapcsolása, böngészőcsere, képernyőmentés, C2 irányítás. Tippek a védekezéshez.
© E. Vartanyan
A kiberbiztonsági szakértők egy új támadáshullámot követnek nyomon: a Maverick nevű trójai ZIP-archívumokon keresztül terjed, amelyeket a WhatsApp Weben küldenek a névjegyeknek. Az archívumban egy parancsikon lapul, amely egy szkriptet indít, ez pedig olyan összetett láncot mozdít működésbe, amely elrejti a tevékenységet és telepíti a kártevőt. A kutatók több lépésből álló forgatókönyvet írnak le: a kód kikapcsolja a beépített védelmeket, elindít egy betöltőt, majd a régióbeállításokat is ellenőrzi, mielőtt aktiválná a fő modult. A sorrend tudatosnak hat, arra utalva, hogy a kampány a lopakodást legalább annyira előtérbe helyezi, mint az elérést.
A Maverick képes figyelni az aktív böngészőfüleket, banki oldalak és más szolgáltatások helyére saját oldalakat cserélni, képernyőképeket készíteni, és az operátorok utasítására tetszőleges parancsokat végrehajtani. A szakértők ráadásul szélesebb célpontlistát látnak: a pénzügyi intézmények mellett a trójai immár a brazil vendéglátóiparra is szemet vet. Az elemzők a műveletet egy felkészült csoportnak tulajdonítják, amely szemmel láthatóan jelentősen fejlesztette az irányítási és terjesztési eszközeit. Ez a fordulat nem egyszeri kísérletnek, inkább a nyomáspontok tudatos diverzifikálásának tűnik.
A mostani hullám védjegye egy központosított vezérlőmechanizmus, amely lehetővé teszi a támadóknak a küldemények összehangolását és a kártevőfrissítések rugalmas kiadását. Vállalatoknak és magánfelhasználóknak egyaránt érdemes óvatosan bánni a mellékletekkel, bekapcsolva tartani a biztonsági frissítéseket, és megbízható vírusvédelemre támaszkodni. A gyakorlatban a fegyelmezett napi rutin marad a legegyszerűbb ellenszer egy olyan taktikával szemben, amely kifejezetten a megszokásainkra épít.