Til tross for arrestasjonen av individer knyttet til spredningen av Mekotio-banktrojaneren, fortsetter skadelig programvare å bli brukt i nye angrep.
På onsdag publiserte Check Point Research (CPR) en analyse av Mekotio, en modulær bankbasert Remote Access Trojan (RAT) som retter seg mot ofre i Brasil, Chile, Mexico, Spania og Peru – og er nå tilbake med ny taktikk for å unngå oppdagelse.
I oktober foretok politiet 16 arrestasjoner i forhold til Mekotio og Grandoreiro-trojanerne over hele Spania. De mistenkte skal ha sendt tusenvis av phishing-e-poster for å distribuere trojaneren, og deretter brukt til å stjele bank- og finanstjenester.
Lokale medier rapporterer at 276 470 euro ble stjålet, men overføringsforsøk – heldigvis blokkert – verdt 3 500 000 euro ble gjort.
HLR-forskere Arie Olshtein og Abedalla Hadra sier at arrestasjonene bare klarte å forstyrre distribusjonen over hele Spania, og ettersom gruppen sannsynligvis samarbeidet med andre kriminelle antrekk, fortsetter skadevaren å spre seg.
Da den spanske sivilgarden kunngjorde arrestasjonene, rehaserte Mekotios utviklere, mistenkt for å være lokalisert i Brasil, raskt sin skadevare med nye funksjoner designet for å unngå oppdagelse.
Mekotios infeksjonsvektor har holdt seg den samme, der phishing-e-poster enten inneholder lenker til eller har vedlagt et skadelig .ZIP-arkiv som inneholder nyttelasten. Imidlertid har en analyse av over 100 angrep som har funnet sted de siste månedene avslørt bruken av en enkel tilsløringsmetode og et substitusjons-chiffer for å omgå deteksjon av antivirusprodukter.
I tillegg har utviklerne inkludert en batch-fil som er redesignet med flere lag med tilsløring, et nytt PowerShell-skript som kjører i minnet for å utføre ondsinnede handlinger, og bruken av Themida – et legitimt program for å forhindre cracking eller omvendt utvikling — for å beskytte den endelige trojanske nyttelasten.
Når den er installert på en sårbar maskin, vil Mekotio forsøke å eksfiltrere tilgangslegitimasjon for banker og finansielle tjenester og vil overføre dem til en kommando-og-kontroll-server (C2) kontrollert av operatørene.
“En av egenskapene til disse bankfolkene, som Mekotio, er det modulære angrepet som gir angriperne muligheten til å endre bare en liten del av helheten for å unngå oppdagelse,” sier forskerne. “CPR ser mye gammel ondsinnet kode brukt i lang tid, og likevel klarer angrepene å holde seg under radaren til AV-er og EDR-løsninger ved å endre pakkere eller obfuskeringsteknikker som for eksempel et substitusjons-chiffer.”
Tidligere og beslektet dekning
Møt Janeleiro: et nytt trojansk bankselskap som slår mot myndighetene
Bizarro banktrojaner øker over hele Europa
Banktrojan utvikler seg fra distribusjon via porno til phishing-ordninger< br>
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre