Παρά τις συλλήψεις ατόμων που σχετίζονται με την εξάπλωση του Mekotio banking trojan σε πολλά συστήματα, το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιείται σε νέες επιθέσεις.
Ερευνητές ασφαλείας της Check Point Research (CPR) δημοσίευσαν μια ανάλυση για το Mekotio trojan, ένα modular banking Remote Access Trojan (RAT) που στοχεύει θύματα στη Βραζιλία, τη Χιλή, το Μεξικό, την Ισπανία και το Περού. Οι ερευνητές εντόπισαν το malware σε νέες επιθέσεις και διαπίστωσαν ότι χρησιμοποιεί νέες τακτικές για την αποφυγή εντοπισμού.
Δείτε επίσης: malware TrickBot: Ο dev του αντιμετωπίζει ποινή φυλάκισης 60 ετών
Τον Οκτώβριο, οι αρχές επιβολής του νόμου πραγματοποίησαν 16 συλλήψεις ατόμων, που λέγεται ότι σχετίζονταν με τα Mekotio και Grandoreiro Trojan, στην Ισπανία. Οι ύποπτοι φέρεται να έστειλαν χιλιάδες phishing emails για να διανείμουν το Trojan, που στη συνέχεια χρησιμοποιήθηκε για την κλοπή credentials που συνδέονταν με τραπεζικές και χρηματοοικονομικές υπηρεσίες.
Τα τοπικά μέσα ενημέρωσης αναφέρουν ότι κλάπηκαν 276.470 ευρώ.
Οι ερευνητές της Check Point, Arie Olshtein και Abedalla Hadra λένε ότι οι συλλήψεις κατάφεραν μόνο να διαταράξουν τη διανομή του Mekotio trojan στην Ισπανία. Ωστόσο, οι εγκληματίες πίσω από αυτό πιθανότατα συνεργάζονταν και με άλλες εγκληματικές ομάδες, με αποτέλεσμα το κακόβουλο λογισμικό να συνεχίζει να εξαπλώνεται.
Δείτε επίσης: Squid Game app με χιλιάδες λήψεις μόλυνε συσκευές με το Joker malware
Μόλις η Ισπανική Πολιτοφυλακή ανακοίνωσε τις συλλήψεις, οι προγραμματιστές του Mekotio trojan, οι οποίοι θεωρείται ότι βρίσκονται στη Βραζιλία, ενημέρωσαν γρήγορα το κακόβουλο λογισμικό τους με νέα χαρακτηριστικά, που έχουν σχεδιαστεί για να αποφεύγεται η ανίχνευση.
Το Mekotio εξακολουθεί να διανέμεται με phishing emails που περιέχουν είτε κακόβουλους συνδέσμους είτε κακόβουλα αρχεία .ZIP. Όμως, μια ανάλυση περισσότερων από 100 επιθέσεων που πραγματοποιήθηκαν τους τελευταίους μήνες, αποκάλυψε τη χρήση μιας απλής μεθόδου obfuscation και ενός substitution cipher για την παράκαμψη της ανίχνευσης από προϊόντα προστασίας από ιούς.
Επιπλέον, οι προγραμματιστές του trojan φαίνεται να έχουν συμπεριλάβει ένα batch file, το οποίο έχει επανασχεδιαστεί με πολλαπλά επίπεδα obfuscation, ένα νέο PowerShell script για την εκτέλεση κακόβουλων ενεργειών και τη χρήση του Themida, μιας νόμιμης εφαρμογής για την αποφυγή cracking ή reverse engineering. Με αυτές τις μεθόδους, προστατεύεται το τελικό Trojan payload.
Δείτε επίσης: Google: Hackers στοχεύουν YouTubers με cookie theft malware
Μόλις εγκατασταθεί σε ένα ευάλωτο μηχάνημα, το Mekotio trojan επιχειρεί να κλέψει credentials για τράπεζες και χρηματοοικονομικές υπηρεσίες και να τα μεταφέρει σε command-and-control (C2) server που ελέγχεται από τους εγκληματίες.
Σύμφωνα με τους ερευνητές, το trojan συνεχίζει να εξαπλώνεται και καταφέρνει να αποφεύγει την ανίχνευση, αλλάζοντας συνεχώς τεχνικές.
Πηγή: ZDNet