9242 подписчика

Будьте осторожны! Новый вирус взламывает WhatsApp Web

16 ноября16 ноя

1191

5 мин

В сети обнаружили очередного «новичка» среди банковских троянов — вредонос Maverick. И самое тревожное здесь даже не его функциональность, а способ распространения. Он использует *WhatsApp Web, заражая пользователей будто бы изнутри их собственного мессенджера. Исследователи предупреждают, что это одна из самых продуманных кампаний последних месяцев, и она уже вышла далеко за рамки обычного банковского мошенничества. Эксперты из CyberProof обнаружили, что злоумышленники рассылают через WhatsApp Web ZIP-архивы. Файлы выглядят безобидно, но внутри прячется LNK-ярлык, маскирующийся под документ или программу. Если пользователь запускает этот ярлык, начинается скрытая цепочка действий. LNK-файл — это ярлык для Windows, проще говоря, “сокращённая ссылка” на программу, файл или папку. Представьте, что у вас есть длинный путь к файлу на компьютере, например C:\Program Files\WhatsApp\WhatsApp.exe. Чтобы не заходить каждый раз туда, вы можете создать ярлык на рабочем столе. Этот ярлык и есть LN

Оглавление

Как работает схема заражения
Что умеет Maverick
Кто стоит за атакой

Как работает схема заражения

Эксперты из CyberProof обнаружили, что злоумышленники рассылают через WhatsApp Web ZIP-архивы. Файлы выглядят безобидно, но внутри прячется LNK-ярлык, маскирующийся под документ или программу. Если пользователь запускает этот ярлык, начинается скрытая цепочка действий.

LNK-файл — это ярлык для Windows, проще говоря, “сокращённая ссылка” на программу, файл или папку.

Представьте, что у вас есть длинный путь к файлу на компьютере, например C:\Program Files\WhatsApp\WhatsApp.exe. Чтобы не заходить каждый раз туда, вы можете создать ярлык на рабочем столе. Этот ярлык и есть LNK-файл. Дважды щёлкнули по нему и Windows открывает оригинальный файл.

В обычной жизни LNK-файлы безвредны. Но злоумышленники иногда маскируют вредоносные программы под LNK. На вид это просто ярлык, а на самом деле он запускает вирус или скрипт.

Первым делом запускается PowerShell-скрипт, загруженный с внешнего ресурса. Скрипт отключает защитные механизмы Windows, проверяет региональные настройки компьютера и подготавливает систему к установке основной вредоносной нагрузки. После этой «разведки» на устройство попадает сам Trojan Maverick.

PowerShell-скрипт — это набор команд для Windows, который выполняется автоматически через программу PowerShell.

Проще говоря, это как записанный “план действий” для компьютера. Вместо того чтобы вручную открывать программы, копировать файлы или менять настройки, скрипт делает всё сам, когда его запускают.

Например, скрипт может:

- создавать папки и файлы;

- копировать или удалять документы;

- изменять настройки системы;

- скачивать программы из интернета.

В обычной жизни это полезно для автоматизации задач. Но злоумышленники используют PowerShell-скрипты для вредоносных действий: отключают защиту, устанавливают вирусы, крадут данные.

Как в Ватсапе отправлять и сохранять исчезающие сообщения

ВСЁ ПРО ВАТСАП11 октября

Что умеет Maverick

По набору функций Maverick действует как классический банковский троян:

🦠 отслеживает активные вкладки браузера;
🦠 подменяет страницы банков;
🦠 перехватывает данные, введённые на фейковых формах;
🦠 крадёт доступы и финансовую информацию.

Исследователи отмечают, что злоумышленники начали интересоваться не только банковской сферой. По данным CyberProof, они всё чаще атакуют гостиничный бизнес Бразилии, что говорит о расширении списка жертв.

WhatsApp запускает умный поиск для проверки незнакомых контактов

ВСЁ ПРО ВАТСАП15 ноября

Кто стоит за атакой

Аналитики Trend Micro связывают эту вирусную атаку с группировкой Water Saci, знакомой по другим вредоносным операциям в регионе. Их схема работает в два этапа:

Сначала запускается SORVEPOTEL — компонент, отвечающий за автоматическое распространение через WhatsApp Web.
Затем Maverick — основной троян, который занимается кражей данных, управлением системой и выстраиванием связи с хакерами.

Эксперты отмечают, что недавно Water Saci переработали инструментарий. На смену .NET пришли VBScript и PowerShell, а для автоматизации браузера злоумышленники используют ChromeDriver и Selenium. Это позволяет им управлять WhatsApp Web напрямую без участия жертвы и даже без повторного сканирования QR-кода.

Как в Ватсапе удалить свое сообщение у собеседника: три простых трюка

ВСЁ ПРО ВАТСАП21 октября

Иными словами, вирус притворяется официальным обновлением WhatsApp. Люди видят знакомое название и думают: «А, ну это что‑то от WhatsApp, можно открыть». Но на самом деле это всего лишь хорошо сделанная маска. Затем вирус рассылает архивы, сам, без человека. То есть, это как смартфон, который сам берёт ваш список контактов и начинает рассылать всем знакомым: «Привет, вот файл, посмотри, очень важно». Но это делаете не вы, а вирус — незаметно, в фоновом режиме. Вы даже можете не заметить, что от вашего имени уходят сообщения.

Он делает это, потому что:

знает список всех ваших контактов,
умеет подбирать текст так, чтобы всё выглядело натурально.

В итоге заражённый человек становится не только жертвой, но и «распространителем» этого вируса.

Чистить WhatsApp станет намного проще

ВСЁ ПРО ВАТСАП15 ноября

Как троян рассылает себя дальше

После заражения устройство превращается в точку распространения. Maverick:

🦠 получает от C2-сервера шаблоны сообщений;
🦠 собирает список контактов пользователя;
🦠 отправляет им ZIP-архивы, маскируясь под «WhatsApp Automation v6.0»;
🦠 персонализирует тексты, чтобы вызвать доверие.

По данным Trend Micro, Water Saci выстроили сложную инфраструктуру управления - команды приходят не через обычный HTTP, а через IMAP-подключение к почтовым ящикам terra.com[.]br. При этом доступ защищён двухфакторной аутентификацией, хакеры защищают свои инструменты так же тщательно, как ломают чужие системы.

💬 Как вернуться в Ватсап-группу, если вы случайно из нее вышли

ВСЁ ПРО ВАТСАП29 октября

Что ещё может Maverick

Функций у трояна больше, чем у многих удалённых администраторов:

делает скриншоты;
управляет файлами на устройстве;
выполняет команды через CMD и PowerShell;
собирает полные сведения о системе;
перезагружает или выключает компьютер;
обновляет самого себя;
ищет новые адреса управления в письмах злоумышленников.

По сути, после заражения атакующие получают почти полный контроль над устройством.

WhatsApp отменяет номера телефонов

ВСЁ ПРО ВАТСАП8 ноября

Почему именно WhatsApp Web идеальная точка входа

WhatsApp Web воспринимается пользователями как безопасная зона - приложение знакомое, интерфейс привычный. Люди редко ожидают угрозы через мессенджер, особенно через его веб-версию. А благодаря автоматизации Selenium вредонос может распространяться без прямых действий жертвы, что делает заражение особенно эффективной.

🔕 Как в WhatsApp отключить звонки от незнакомцев

ВСЁ ПРО ВАТСАП13 июля

Как защититься

На фоне такой схемы самое важное —это простая кибергигиена:

не открывайте ZIP-файлы и ярлыки, полученные от неизвестных или «подозрительно знакомых» контактов;
избегайте запуска LNK-файлов;
регулярно обновляйте антивирус и включайте защиту в Windows;
следите за активными сессиями в WhatsApp Web.

Почему WhatsApp просит россиян создать ключ доступа и как это сделать на Android и iPhone

ВСЁ ПРО ВАТСАП13 ноября

Спасибо, что читаете — это уже огромная поддержка. А еще у вас есть возможность помочь мне через донаты. Это абсолютно добровольно, но невероятно ценно для меня. Вот ссылка, если вдруг захотите поддержать - https://dzen.ru/prowhatsapp?donate=true

Обязательно поделитесь этой важной информацией с другими и не забудьте подписаться на наш канал. Также, нам будет приятно, если вы поставите лайк 😊

*(WhatsApp принадлежит компании Meta, которая признана в России экстремистской и запрещена).

Как в WhatsApp отличить безопасную открытку от вируса

ВСЁ ПРО ВАТСАП19 июня