Novo malware que se espalha pelo WhatsApp pode ser "parente" do vírus bancário Coyote

Pesquisadores de segurança vêm investigando o malware Maverick, uma ameaça que se espalha via WhatsApp e foi documentada pela Trend Micro no início do mês passado. A campanha combina um propagador automático (SORVEPOTEL) que explora o WhatsApp Web e um arquivo ZIP com o payload Maverick, projetado para espionar abas do navegador e detectar URLs de instituições financeiras da América Latina - com foco especial em usuários brasileiros. Analistas notaram semelhanças operacionais com outro malware ativo no Brasil, o Coyote, o que sugere que eles possam fazer parte de uma mesma “família” ou compartilhar recursos e rotinas.

A cadeia de ataque começa com um arquivo ZIP aparentemente legítimo recebido por WhatsApp (nomes como "NEW-20251001_152441-PED_561BCF01.zip"), que contém um atalho LNK do Windows. Ao ser clicado, o LNK dispara uma sequência ofuscada de comandos PowerShell - montada em etapas como um “Lego”, juntando pedaços codificados em Base64 e strings fragmentadas - que contorna detecções e monta o malware em múltiplas fases. Tanto Maverick quanto Coyote utilizam esse mesmo fluxo (LNK → PowerShell → componentes .NET) e incluem rotinas específicas para monitorar aplicações bancárias e exibir páginas de phishing quando identificam sites-alvo.

A CyberProof conseguiu mapear vários incidentes e detalhar o funcionamento do ataque, revelando a combinação de engenharia social (mensagens via WhatsApp) com técnicas avançadas de ofuscação e monitoramento remoto. Especialistas alertam que a semelhança entre as campanhas aumenta o risco para clientes de bancos na região e reforça a necessidade de cautela.