Mekotio este un troian bancar sofisticat care a fost activ cel puțin din 2015, vizând în principal țările din America Latină cu scopul de a fura informații sensibile – în special acreditările bancare – de la victimele sale. Originar din regiunea Americii Latine, a fost deosebit de prolific în Brazilia, Chile, Mexic, Spania și Peru. În plus, Mekotio pare să aibă o origine comună cu alte malware-uri bancare notabile din America Latină, cum ar fi Grandoreiro, care a fost perturbat de forțele de ordine mai devreme în acest an.
Mekotio este adesea livrat prin e-mailuri de phishing, folosind inginerie socială pentru a păcăli utilizatorii să interacționeze cu linkuri sau atașamente malițioase. Am asistat recent la o creștere a atacurilor care implică Mekotio printre clienții noștri. În această intrare de blog, vom oferi o prezentare generală a troianului și a ceea ce face.
Cum funcționează Mekotio:
Mekotio ajunge de obicei prin e-mailuri care par a fi de la agenții fiscali care susțin că utilizatorul are obligații fiscale neplătite. Aceste e-mailuri conțin un fișier ZIP atașat sau un link către un site malițios. Odată ce utilizatorul interacționează cu e-mailul, malware-ul este descărcat și executat pe sistemul lor. În analiza noastră, atașamentul este un fișier PDF care conține linkul malițios. La execuție, Mekotio colectează informații despre sistem și stabilește o conexiune cu un server de comandă și control (C&C). Acest server oferă instrucțiuni și o listă de sarcini pentru malware pentru a efectua. Odată în interiorul sistemului, Mekotio efectuează următoarele activități malițioase:
Furtul de acreditări: Obiectivul principal al Mekotio este de a fura acreditările bancare. Acesta realizează acest lucru afișând pop-up-uri false care imită site-uri bancare legitime, păcălind utilizatorii să-și introducă detaliile, pe care troianul le recoltează apoi.
Colectarea informațiilor: Mekotio poate captura capturi de ecran, înregistra apăsările de taste și fura datele din clipboard.
Mecanisme de persistență: Mekotio utilizează diverse tactici pentru a-și menține prezența pe sistemul infectat, inclusiv adăugându-se la programele de pornire sau creând sarcini programate.
Informațiile bancare furate sunt trimise înapoi la serverul C&C, unde pot fi utilizate în continuare de actorii malițioși pentru activități frauduloase, cum ar fi accesul neautorizat la conturile bancare.
Mitigare
Prin practicarea unor bune practici de securitate, utilizatorii se pot proteja de amenințările care sunt livrate în principal prin e-mail. Acestea includ următoarele:
Fiind sceptici față de e-mailurile nesolicitate
Utilizatorii ar trebui să verifice adresa de e-mail a expeditorului, să caute greșeli de ortografie și gramatică și să examineze liniile de subiect.
Mekotio este o amenințare persistentă și în evoluție la adresa sistemelor financiare, în special în țările din America Latină. Folosește e-mailuri de phishing pentru a infiltra sisteme, cu scopul de a fura informații sensibile, menținând în același timp o poziție puternică pe mașinile compromise.
Mekotio este o piesă sofisticată de malware care a fost activă cel puțin din 2015, vizând în principal țările din America Latină cu scopul de a fura informații sensibile – în special acreditările bancare – de la victimele sale. Originar din regiunea Americii Latine, a fost deosebit de prolific în Brazilia.
Mai multe informații și sursa: Trend Micro
