Πολλά χρηματοπιστωτικά ιδρύματα στη Λατινική Αμερική (και οι πελάτες τους) έχουν βρεθεί στο στόχαστρο του Mekotio banking trojan (γνωστό και ως Melcoz).
Η Trend Micro παρατήρησε μια έκρηξη επιθέσεων που διανέμουν το κακόβουλο λογισμικό και στοχεύουν Windows συστήματα.
Το Mekotio banking trojan χρησιμοποιείται από το 2015. Στοχεύει χώρες της Λατινικής Αμερικής όπως η Βραζιλία, η Χιλή, το Μεξικό, το Περού, αλλά και χώρες όπως η Ισπανία και η Πορτογαλία, με στόχο την κλοπή τραπεζικών credentials. Αναλύθηκε για πρώτη φορά από την ESET τον Αύγουστο του 2020.
Δείτε επίσης: Google Play: Anatsa banking trojan και κακόβουλες εφαρμογές με εκατ. λήψεις
Σύμφωνα με την έκθεση της Trend Micro, το Mekotio είναι γραμμένο σε Delphi και έχει πολλά από τα συνηθισμένα χαρακτηριστικά ενός banking trojan, όπως χρήση ψεύτικων αναδυόμενων παραθύρων και λειτουργία backdoor. Στοχεύει κυρίως ισπανόφωνες και πορτογαλόφωνες χώρες.
Η κακόβουλη επιχείρηση υπέστη πλήγμα τον Ιούλιο του 2021, όταν οι ισπανικές υπηρεσίες επιβολής του νόμου συνέλαβαν 16 άτομα που πραγματοποιούσαν social engineering επιθέσεις που διένειμαν το Mekotio σε συστήματα Ευρωπαίων χρηστών.
“Το Mekotio banking trojan είναι μια επίμονη και εξελισσόμενη απειλή για τα χρηματοπιστωτικά συστήματα, ειδικά στις χώρες της Λατινικής Αμερικής“, δήλωσε η Trend Micro. “Χρησιμοποιεί phishing μηνύματα για να διεισδύσει σε συστήματα, με στόχο την κλοπή ευαίσθητων πληροφοριών, ενώ παράλληλα διατηρεί ισχυρή βάση σε μηχανήματα που έχουν υποστεί βλάβη“.
Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play
Οι επιθέσεις ξεκινούν με phishing emails που χρησιμοποιούν ως δόλωμα κάποιο φορολογικό θέμα. Οι επιτιθέμενοι προσπαθούν να εξαπατήσουν τους παραλήπτες ώστε να ανοίξουν κακόβουλα συνημμένα ή να κάνουν κλικ σε ψεύτικους συνδέσμους που οδηγούν στην ανάπτυξη ενός MSI installer file. Αυτό, με τη σειρά του, χρησιμοποιεί ένα AutoHotKey (AHK) script για την εκκίνηση του κακόβουλου λογισμικού.
Αυτή η διαδικασία μόλυνσης είναι λίγο διαφορετική από αυτή που είχε παρατηρηθεί το 2021, κάτι που δείχνει ότι οι χειριστές του Mekotio banking trojan εξελίσσονται και βελτιώνουν τις τεχνικές.
Μόλις εγκατασταθεί, το Mekotio συλλέγει πληροφορίες συστήματος και έρχεται σε επαφή με έναν contact with a command-and-control (C2) server για να λάβει περαιτέρω οδηγίες.
Ο κύριος στόχος του είναι να κλέψει τραπεζικά credentials εμφανίζοντας ψεύτικα παράθυρα σύνδεσης και παριστάνοντας νόμιμους ιστότοπους τραπεζών. Επίσης, είναι εξοπλισμένο με δυνατότητες που του επιτρέπουν να τραβά screenshots, να καταγράφει πληκτρολογήσεις, να κλέβει δεδομένα από το πρόχειρο και να εδραιώνει persistence.
Δείτε επίσης: Το Grandoreiro banking trojan “επέστρεψε” πιο ισχυρό
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τα κλεμμένα δεδομένα για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους τραπεζικούς λογαριασμούς των χρηστών. Μπορούν να κλέψουν χρήματα και να πραγματοποιήσουν μη εξουσιοδοτημένες συναλλαγές.
Προστασία από banking trojan (π.χ. Mekotio)
- Η εγκατάσταση antivirus λογισμικών είναι ουσιαστική για την προστασία της συσκευής σας. Αυτά τα λογισμικά μπορούν να αναγνωρίσουν και να απομακρύνουν το malware πριν αυτό προκαλέσει ζημιά.
- Είναι σημαντικό να κρατάτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από το malware.
- Αποφύγετε την εγκατάσταση εφαρμογών από πηγές τρίτων. Οι εφαρμογές αυτές δεν έχουν υποστεί τον ίδιο έλεγχο ασφαλείας με αυτές στα επίσημα καταστήματα.
- Προσέξτε τις άδειες που ζητούν οι εφαρμογές. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζεται, μπορεί να είναι καλύτερο να μην την εγκαταστήσετε.
- Προσέχετε τα μηνύματα phishing που μπορεί να προσπαθούν να σας παρακινήσουν να κατεβάσετε malware. Αυτά τα μηνύματα μπορεί να φαίνονται ότι προέρχονται από νόμιμες πηγές, αλλά συχνά περιέχουν συνδέσμους ή συνημμένα που μπορούν να εγκαταστήσουν malware στη συσκευή σας.
- Τέλος, είναι σημαντικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των πληροφοριών σας εάν η συσκευή σας προσβληθεί από malware (π.χ. Mekotio banking trojan).
Πηγή: thehackernews.com