Bankový trójsky kôň Mekotio sa znovu objavuje s novými technikami útoku a utajenia

Operátori, ktorí stoja za bankovým trójskym koňom Mekotio, opäť prešli na povrch s posunom v toku infekcie, aby zostali pod radarom a vyhli sa bezpečnostnému softvéru, pričom za posledné tri mesiace uskutočnili takmer 100 útokov.

„Jedna z hlavných charakteristík […] je modulárny útok, ktorý útočníkom dáva možnosť zmeniť len malú časť celku, aby sa vyhli odhaleniu,” uviedli výskumníci z Check Point Research v správe zdieľanej s The Hacker News. Najnovšia vlna útokov sa údajne týka predovšetkým obete nachádzajúce sa v Brazílii, Čile, Mexiku, Peru a Španielsku.

Tento vývoj prichádza po tom, čo španielske orgány činné v trestnom konaní v júli 2021 zatkli 16 osôb patriacich do zločineckej siete v súvislosti s prevádzkovaním Mekotio a ďalšieho bankového malvéru s názvom Grandoreiro v rámci kampane sociálneho inžinierstva zameranej na finančné inštitúcie v Európe.

Vyvinutá verzia kmeňa malvéru Mekotio je navrhnutá na kompromisy Windows systémy s reťazou útokov, ktorá začína phishingovými e-mailami, ktoré sa tvária ako čakajúce daňové doklady a obsahujú odkaz na súbor ZIP alebo súbor ZIP ako prílohu. Kliknutím na otvorenie archívu ZIP sa spustí spustenie dávkového skriptu, ktorý následne spustí skript PowerShell na stiahnutie súboru ZIP druhej fázy.

Tento sekundárny súbor ZIP obsahuje tri rôzne súbory – tlmočník AutoHotkey (AHK), skript AHK a užitočné zaťaženie Mekotio DLL. Vyššie uvedený skript PowerShell potom zavolá tlmočníka AHK, aby spustil skript AHK, ktorý spustí užitočnú časť DLL na ukradnutie hesiel z portálov online bankovníctva a exfiltráciu výsledkov späť na vzdialený server.

Škodlivé moduly sa vyznačujú používaním jednoduchých zahmlievacích techník, ako sú substitučné šifry, ktoré poskytujú malvéru vylepšené možnosti utajenia a umožňujú, aby väčšina antivírusových riešení nezostala odhalená.

“Je tu veľmi reálne nebezpečenstvo, že bankár Mekotio kradne používateľské mená a heslá, aby sa dostal do finančných inštitúcií,” povedal Kobi Eisenkraft z Check Pointu. “Zatýkanie teda zastavilo činnosť španielskych gangov, ale nie hlavných skupín kyberzločinu za Mekotio.”

Používateľom v Latinskej Amerike sa dôrazne odporúča používať dvojfaktorové overenie na zabezpečenie svojich účtov pred útokmi na prevzatie a dávať si pozor na podobné domény, pravopisné chyby v e-mailoch alebo na webových stránkach a e-mailové správy od neznámych odosielateľov.