Alles over Maverick, de trojan die via WhatsApp Web wordt verspreid: hij monitort tabs, vervangt bankpagina’s en treft nu ook de hospitalitysector in Brazilië.
© E. Vartanyan
Cybersecurityspecialisten volgen een nieuwe golf aanvallen: een trojan met de naam Maverick verspreidt zich via ZIP-archieven die via WhatsApp Web naar contacten worden gestuurd. In het archief zit een snelkoppeling die een script start, waarna een keten van componenten in gang wordt gezet om de activiteit te verdoezelen en de malware te installeren. Onderzoekers schetsen een stappenplan in meerdere fasen: eerst worden ingebouwde beveiligingen uitgeschakeld, daarna gaat een loader aan het werk en worden regionale instellingen gecontroleerd voordat de kernmodule wordt geactiveerd. De opbouw oogt doelgericht en weloverwogen, met evenveel nadruk op onzichtbaarheid als op bereik — de keuze voor een alledaags kanaal als WhatsApp Web lijkt allesbehalve toevallig.
Maverick kan actieve browsertabbladen monitoren, pagina’s omwisselen voor die van bankdiensten en andere services, screenshots maken en op aanwijzing van de operators willekeurige commando’s uitvoeren. Experts zien bovendien een verbreed vizier: naast financiële instellingen richt de trojan zich nu ook op de hospitalitysector in Brazilië. Analisten schrijven de operatie toe aan een capabele groep die beheer- en bezorgtools aanzienlijk heeft opgewaardeerd. Dit oogt minder als een losse proef en meer als een koers om de drukpunten te spreiden.
Kenmerkend voor deze laatste golf is een centraal aangestuurd mechanisme waarmee aanvallers mailings kunnen coördineren en malware-updates met opvallende souplesse uitrollen. Bedrijven én individuele gebruikers doen er goed aan bijlagen met argwaan te openen, beveiligingsupdates ingeschakeld te laten en te vertrouwen op gerenommeerde antivirusoplossingen. In de praktijk blijft een strakke routine de eenvoudigste manier om tactieken te breken die juist teren op dagelijkse gewoonten.