Maverick: El Malware de WhatsApp que Roba Cuentas Bancarias en Brasil
Alexander Chapellin 11/13/2025 Ciberseguridad, Malware, Ciberataque
5 Minutos

Expertos en ciberseguridad han encontrado similitudes preocupantes entre Maverick, una nueva cepa de malware que se propaga a través de WhatsApp, y Coyote, un conocido troyano bancario de origen brasileño. Todo apunta a que ambos forman parte del mismo ecosistema de amenazas digitales, cada vez más sofisticado y difícil de detectar.

De acuerdo con los informes de CyberProof, Trend Micro y Sophos, ambos troyanos comparten varias características clave:

 

  1. Están desarrollados en .NET.

  2. Tienen como objetivo principal a usuarios y bancos brasileños.

  3. Emplean código casi idéntico para monitorear direcciones URL y robar credenciales.

  4. Y además, pueden propagarse a través de WhatsApp Web, lo que multiplica su alcance.

 

En este contexto, Maverick destaca como una versión más avanzada y peligrosa. Se le atribuye a un grupo de atacantes conocido como Water Saci, y combina el robo de credenciales con la capacidad de autopropagarse, operando prácticamente como una botnet autónoma que se expande por sí misma sin intervención del usuario.

 

Cómo funciona la campaña de malware Maverick

 

La campaña Maverick comienza con algo aparentemente inofensivo: un archivo ZIP enviado por WhatsApp Web. Dentro del comprimido se oculta un acceso directo de Windows (.LNK) que, al ejecutarse, lanza un comando de PowerShell. Ese comando conecta el equipo al servidor del atacante, alojado en zapgrande[.]com, y ahí se inicia la cadena de infección.

A partir de ese momento, el proceso se desarrolla en varias etapas:

 

1. Ejecución inicial: el archivo .LNK abre cmd.exe y utiliza PowerShell para descargar un “loader” (cargador de malware).

2. Evasión de defensas: el malware desactiva Microsoft Defender y el Control de Cuentas de Usuario (UAC) para operar sin restricciones ni alertas del sistema.

3. Antianálisis: realiza comprobaciones para detectar herramientas de depuración o ingeniería inversa. Si encuentra alguna, detiene su ejecución para evitar ser analizado.

4. Entrega de la carga útil: descarga dos módulos principales:

  1. SORVEPOTEL, responsable de la propagación a través de WhatsApp.

  2. Maverick, el núcleo del troyano bancario diseñado para robar credenciales y datos financieros.

5. Filtro geográfico: el malware solo se activa si detecta que el dispositivo está ubicado en Brasil, verificando idioma, zona horaria y configuración regional.

 

Además, según CyberProof, existen indicios de que el grupo detrás de Maverick (conocido como Water Saci) ha comenzado a expandir sus ataques más allá del sector bancario, dirigiéndose también a hoteles y empresas del sector turístico en Brasil.

 

Detalles técnicos: SORVEPOTEL y Maverick

 

En esta campaña, SORVEPOTEL y Maverick actúan como una pareja complementaria: SORVEPOTEL descarga y propaga el malware, y Maverick se encarga del trabajo sucio: robar credenciales, secuestrar el navegador y ejecutar órdenes remotas.

 

¿Qué hace exactamente Maverick?

 

Maverick incluye varias capacidades diseñadas para atacar a usuarios bancarios en la región:

 

  1. Monitorea las pestañas del navegador en busca de URL de bancos y servicios financieros en Latinoamérica.

  2. Inyecta o muestra páginas de inicio de sesión falsificadas (phishing) para capturar usuario y contraseña justo cuando la víctima intenta acceder a su banco.

  3. Recopila datos del sistema y del navegador, como cookies, tokens y otra información de sesión que facilita el acceso o el fraude.

  4. Ejecuta comandos enviados desde un servidor C2 remoto, lo que le permite realizar reconocimiento, moverse lateralmente y asegurar persistencia en el equipo infectado.

 

El papel de SORVEPOTEL

 

SORVEPOTEL actúa como el motor de distribución: se ocupa de la autopropagación (especialmente vía WhatsApp Web) y prepara el terreno para que Maverick se instale y opere sin ser detectado.

 

Podría interesarte leer: ¿Usas WhatsApp Web? Así se Infiltran los Hackers con Fotos Falsas

 

Evolución de la cadena de ataque: Water Saci se hace más sigiloso

 

Las firmas que analizan la campaña han detectado un cambio importante en las tácticas del grupo atribuido como Water Saci. En lugar de depender únicamente de cargas .NET pesadas, ahora usan cargadores más discretos, construidos con Visual Basic Script (VBS) y PowerShell, lo que les da dos ventajas claras:

 

  1. Mayor sigilo: VBS y PowerShell permiten ejecutar código en memoria y con menos huellas en disco, dificultando la detección por soluciones tradicionales.

  2. Más flexibilidad: estos cargadores facilitan la entrega de payloads variados y la adaptación rápida de la campaña según el objetivo o la región.

 

En resumen: Water Saci ha refinado su cadena de ataque para ser más evasivo y modular, usando SORVEPOTEL para expandirse y Maverick para monetizar el acceso a cuentas bancarias y sesiones de usuario.

 

cadena de ataque-1

 Nueva cadena de ataque de Water Saci (Fuente: Trend Micro)

 

Esta campaña aprovecha ChromeDriver y Selenium para automatizar el navegador de la víctima y secuestrar su sesión de WhatsApp Web. Con eso, los atacantes usan el propio perfil del navegador (cookies, tokens y demás) para enviar archivos ZIP maliciosos a todos los contactos de la víctima sin levantar las alertas habituales.

 

Guia de ciberseguridad

 

Secuencia de ataque

 

  1. El usuario descarga y descomprime un archivo ZIP malicioso.

  2. Dentro viene un cargador en VBS (Orcamento.vbs / SORVEPOTEL) que activa un script de PowerShell (tadeu.ps1) y lo ejecuta en memoria.

  3. El script usa automatización con Selenium + ChromeDriver para tomar el control de la sesión de WhatsApp Web abierta en el navegador.

  4. Desde esa sesión secuestrada, el malware envía automáticamente los archivos ZIP maliciosos a la lista de contactos de la víctima.

  5. Para esconder la actividad, muestra un banner falso (“WhatsApp Automation v6.0”) y así la víctima no detecta cambios evidentes.

  6. Además, el malware copia el perfil de Chrome de la víctima (incluidas cookies y tokens de autenticación) para hacer un secuestro de sesión “limpio”, sin pedir códigos QR ni generar avisos de inicio de sesión.

 

El resultado es potente y peligroso: los atacantes obtienen acceso instantáneo a cuentas de WhatsApp y pueden propagarse a gran velocidad usando a las propias víctimas como vectores, sin saltar las alarmas comunes de seguridad.

 

trayectoria

Cronología de la Campaña Water Saci (Fuente: Trend Micro)

 

Podría interesarte leer: Tipos de Ciberataques Más Comunes en Empresas y Cómo Prevenirlos

 

Mando y control (C2) a través de correo electrónico

 

Uno de los aspectos más curiosos del ecosistema Water Saci es su forma de comunicarse con los equipos infectados. En lugar de usar servidores de mando y control tradicionales, este grupo utiliza una infraestructura C2 basada en correo electrónico, con cuentas terra.com[.]br protegidas mediante autenticación multifactor (MFA).

El malware se conecta directamente a estas bandejas de entrada por IMAP, desde donde descarga los comandos enviados por los atacantes. Esto hace que su actividad sea mucho más difícil de rastrear o bloquear.

Entre los comandos C2 más comunes se encuentran:

 

  1. Control del sistema: reiniciar, apagar o actualizar el equipo.

  2. Gestión de archivos: subir, descargar, eliminar, mover o renombrar.

  3. Ejecución remota: ejecutar comandos CMD o PowerShell, tomar capturas de pantalla o listar tareas activas.

  4. Reconocimiento: obtener información del sistema, buscar archivos o listar directorios.

  5. Persistencia: crear carpetas, verificar correo o mantener la conexión con el servidor.

 

Este enfoque permite un control manual, discreto y flexible. Incluso si las cuentas están protegidas por MFA, los operadores pueden introducir los códigos de forma manual para seguir accediendo sin ser detectados.

 

¿Por qué WhatsApp es el vector perfecto?

 

Con más de 148 millones de usuarios activos en Brasil, WhatsApp es el medio de comunicación más usado tanto a nivel personal como profesional. Esto lo convierte en el terreno ideal para una campaña de malware.

Water Saci aprovecha ese nivel de confianza de tres formas:

 

  1. A través de contactos personales: las víctimas reciben archivos de alguien conocido, lo que reduce las sospechas de phishing.

  2. Secuestrando sesiones legítimas: el malware usa la sesión activa de WhatsApp Web para propagarse sin necesidad de nuevos accesos o códigos QR.

  3. Mediante señuelos localizados: los mensajes están escritos en portugués y adaptados al contexto local, aumentando su credibilidad.

 

Según Trend Micro, esta “conversión de apps sociales de confianza en herramientas de ataque” marca una evolución importante en las tácticas de los ciberdelincuentes brasileños: han pasado de los correos de spam a la infección directa entre contactos mediante plataformas de mensajería.

Diversas empresas de ciberseguridad (como Kaspersky y Sophos) confirman que Maverick comparte fragmentos de código, estructura lógica y funciones de propagación con Coyote, un antiguo troyano bancario desarrollado en .NET y también originario de Brasil.

Aunque existen distintos puntos de vista sobre si Maverick es una versión renombrada o una variante evolucionada, todos coinciden en que ambos pertenecen al mismo ecosistema de amenazas brasileño y comparten un objetivo común: las instituciones financieras.

 

Conoce más sobre: Nueva Amenaza Cibernética: El Troyano Coyote

 

Cómo protegerte del malware Maverick

 

Tanto las organizaciones como los usuarios en Brasil y América Latina pueden reducir significativamente el riesgo de infección por Maverick y Water Saci aplicando buenas prácticas de ciberseguridad y soluciones avanzadas de protección.

En TecnetOne, recomendamos implementar las siguientes medidas para fortalecer tu defensa frente a este tipo de amenazas:

 

  1. Bloquear y monitorear la descarga de archivos ZIP, LNK, VBS y PowerShell provenientes de fuentes no verificadas.

  2. Restringir el uso de herramientas de automatización como Selenium o ChromeDriver en entornos corporativos para evitar abusos en navegadores comprometidos.

  3. Adoptar soluciones de protección de endpoints con detección basada en comportamiento, como TecnetProtect, diseñadas para identificar y frenar malware que se ejecuta mediante scripts o procesos en memoria.

  4. Activar la autenticación multifactor (MFA) en WhatsApp, correos electrónicos y otras plataformas sociales para impedir accesos no autorizados.

  5. Capacitar a los usuarios sobre técnicas de ingeniería social, mensajes falsos de “automatización” y los riesgos de abrir archivos compartidos por WhatsApp.

  6. Borrar periódicamente cookies y sesiones del navegador para reducir la posibilidad de secuestros de sesión.

  7. Monitorear el tráfico de correo IMAP en busca de comportamientos anómalos o intentos de autenticación sospechosos que puedan indicar actividad maliciosa.

En TecnetOne, contamos con soluciones especializadas en detección avanzada de amenazas, protección de endpoints y concientización de usuarios, diseñadas para ayudar a las empresas a prevenir ataques como Maverick antes de que causen daños.

 

Contáctanos

Tag:

Ciberseguridad Malware Ciberataque

Ataques Zero-Day: Hackers Aprovechan Fallas en Citrix y Cisco

Artículo Anterior

Indicadores de Ataques de Ransomware: ¿Cómo Identificarlos?

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Ciberataque, Ransomware
Jonathan Montoya 11/13/2025

Indicadores de Ataques de Ransomware: ¿Cómo Identificarlos?

El ransomware se ha convertido en una de las amenazas más frecuentes y peligrosas en el mundo de la

Leer más
Ciberataque
Gustavo Sánchez 11/13/2025

Ataques Zero-Day: Hackers Aprovechan Fallas en Citrix y Cisco

Las vulnerabilidades sin parche, conocidas como zero-day, siguen siendo una de las amenazas más

Leer más
Ciberataque, phishing
Eduardo Morales 11/13/2025

Nuevo Ataque Phishing Usa Marcas Populares para Robar Credenciales

El phishing ha evolucionado, y los atacantes ya no necesitan enlaces sospechosos ni sitios falsos

Leer más