På trods af anholdelsen af personer, der er forbundet med spredningen af Mekotio-banktrojaneren, bliver malwaren fortsat brugt i nye angreb.
I onsdags offentliggjorde Check Point Research (CPR) en analyse af Mekotio, en modulopbygget bankremote Access Trojan (RAT), der er rettet mod ofre i Brasilien, Chile, Mexico, Spanien og Peru – og er nu tilbage med ny taktik for at undgå opdagelse.
I oktober foretog retshåndhævelsen 16 anholdelser i forhold til Mekotio og Grandoreiro-trojanerne i hele Spanien. De mistænkte har angiveligt sendt tusindvis af phishing-e-mails for at distribuere trojaneren, og derefter brugt til at stjæle bankoplysninger og finansielle tjenester.
Beretninger fra lokale medier tyder på, at 276.470 euro blev stjålet, men der blev foretaget overførselsforsøg – heldigvis blokeret – til en værdi af 3.500.000 euro.
CPR-forskere Arie Olshtein og Abedalla Hadra siger, at anholdelserne kun formåede at forstyrre distributionen over hele Spanien, og da gruppen sandsynligvis samarbejdede med andre kriminelle tøj, fortsætter malwaren med at sprede sig.
Da den spanske civilgarde annoncerede anholdelserne, rehasede Mekotios udviklere, der mistænkes for at være placeret i Brasilien, hurtigt deres malware med nye funktioner designet til at undgå opdagelse.
Mekotios infektionsvektor er forblevet den samme, hvor phishing-e-mails enten indeholder links til eller har vedhæftet et ondsindet .ZIP-arkiv, der indeholder nyttelasten. En analyse af over 100 angreb, der har fundet sted i de seneste måneder, har dog afsløret brugen af en simpel sløringsmetode og en substitutions-chiffer for at omgå detektion af antivirusprodukter.
Derudover har udviklerne inkluderet en batch-fil, der er redesignet med flere lag af sløring, et nyt PowerShell-script, der kører i hukommelsen for at udføre ondsindede handlinger, og brugen af Themida – et legitimt program til at forhindre cracking eller reverse engineering – for at beskytte den endelige trojanske nyttelast.
Når først det er installeret på en sårbar maskine, vil Mekotio forsøge at eksfiltrere adgangsoplysninger til banker og finansielle tjenester og overføre dem til en kommando-og-kontrol-server (C2) kontrolleret af dens operatører.
“Et af kendetegnene ved disse bankfolk, såsom Mekotio, er det modulære angreb, som giver angriberne mulighed for kun at ændre en lille del af helheden for at undgå opdagelse,” siger forskerne. “CPR ser en masse gammel ondsindet kode brugt i lang tid, og alligevel formår angrebene at forblive under radaren af AV'er og EDR-løsninger ved at ændre pakkere eller sløringsteknikker såsom en substitutions-chiffer.”
Tidligere og relateret dækning
Mød Janeleiro: en ny trojansk bankvirksomhed, som er slående, regeringsmål
Bizarro banking Trojan stiger i hele Europa
Banking Trojan udvikler sig fra distribution gennem porno til phishing-ordninger< br>
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre