Ένα ευέλικτο banking Trojan που στοχεύει χρήστες στη Λατινική Αμερική κυκλοφορεί σε πολλές χώρες, όπως το Μεξικό, η Βραζιλία, η Χιλή, η Ισπανία, το Περού και η Πορτογαλία.
Το malware διασφαλίζει το persistence στα μολυσμένα συστήματα και έχει προηγμένες δυνατότητες όπως το να φυτεύει backdoors, να κλέβει bitcoin και να εξάγει credentials.
Με την ονομασία Mekotio, το trojan συλλέγει ευαίσθητες πληροφορίες από τους κεντρικούς υπολογιστές των θυμάτων, όπως η διαμόρφωση του τείχους προστασίας, οι πληροφορίες του λειτουργικού συστήματος, εάν είναι ενεργοποιημένα τα δικαιώματα διαχειριστή και την κατάσταση τυχόν εγκατεστημένων προϊόντων antivirus.
Μια συγκεκριμένη συμπεριφορά για το Mekotio είναι η χρήση αναδυόμενων παραθύρων συστήματος που πλαστοπροσωπούν τις ενημερώσεις συστήματος.
Το αναδυόμενο παράθυρο των Windows που εμφανίζεται παρακάτω περιέχει ένα λανθασμένο μήνυμα στα Πορτογαλικά που αναφέρει, “Αυτήν τη στιγμή εκτελούμε ενημερώσεις ασφαλείας στον ιστότοπο! Δοκιμάστε ξανά αργότερα!”.
“Το Mekotio έχει αρκετές τυπικές backdoor δυνατότητες. Μπορεί να λάβει screenshots, να χειριστεί windows, να προσομοιώσει ενέργειες ποντικιού και πληκτρολογίου, να επανεκκινήσει το μηχάνημα, να περιορίσει την πρόσβαση σε διάφορους ιστότοπους τραπεζών και να ενημερώσει τον εαυτό του”, εξηγεί η ESET σε μια έκθεση που κυκλοφόρησε αυτήν την εβδομάδα.
Ορισμένες παραλλαγές του trojan μπορούν επίσης να παραβιάσουν την κρυπτογράφηση με την αντικατάσταση μιας διεύθυνσης πορτοφολιού Bitcoin στο πρόχειρο και τη λήψη αποθηκευμένων κωδικών πρόσβασης από το πρόγραμμα περιήγησης ιστού Chrome.
Το Trojan διανέμεται μέσω phishing
Οι έρευνες της ESET ανέφεραν ότι το spam phishing φαίνεται να είναι ο πρωταρχικός τρόπος διανομής που αξιοποιείται από τους δημιουργούς του Mekotio.
Το email προσποιείται ότι περιέχει μια απόδειξη, αλλά έχει συνδέσμους που κατεβάζουν ένα κακόβουλο αρχείο ZIP που σχετίζεται με αυτό το κακόβουλο λογισμικό.
Το trojan είναι γνωστό ότι κυκλοφορεί τουλάχιστον από το 2015. Από το 2018, οι ερευνητές έχουν παρατηρήσει 38 διαφορετικές αλυσίδες διανομής που χρησιμοποιούνται από το Mekotio και άλλα παρόμοια σκέλη.
