Ondanks de arrestatie van personen die verband houden met de verspreiding van de Mekotio banking-trojan, wordt de malware nog steeds gebruikt bij nieuwe aanvallen.
Op woensdag publiceerde Check Point Research (CPR) een analyse van Mekotio, een modulaire Remote Access Trojan (RAT) voor bankieren die zich richt op slachtoffers in Brazilië, Chili, Mexico, Spanje en Peru — en nu terug met nieuwe tactieken om detectie te voorkomen.
In oktober verrichtte de politie 16 arrestaties in verband met Mekotio en de Grandoreiro-trojanen in heel Spanje. De verdachten zouden duizenden phishing-e-mails hebben verzonden om de trojan te verspreiden en vervolgens gebruikt om bankgegevens en gegevens van financiële diensten te stelen.
Lokale mediaberichten suggereren dat 276.470 euro is gestolen, maar er zijn overboekingspogingen – gelukkig geblokkeerd – ter waarde van 3.500.000 euro gedaan.
CPR-onderzoekers Arie Olshtein en Abedalla Hadra zeggen dat de arrestaties de distributie in heel Spanje alleen maar konden verstoren, en aangezien de groep waarschijnlijk samenwerkte met andere criminele groepen, blijft de malware zich verspreiden.
Toen de Spaanse Guardia Civil de arrestaties aankondigde, hebben de ontwikkelaars van Mekotio, die ervan verdacht worden zich in Brazilië te bevinden, hun malware snel opnieuw geherkaapt met nieuwe functies die zijn ontworpen om detectie te voorkomen.
Mekotio's infectievector is hetzelfde gebleven, waarin phishing-e-mails ofwel links bevatten naar of een kwaadaardig .ZIP-archief hebben dat de payload bevat. Een analyse van meer dan 100 aanvallen die de afgelopen maanden hebben plaatsgevonden, heeft echter het gebruik van een eenvoudige verduisteringsmethode en een vervangende code onthuld om detectie door antivirusproducten te omzeilen.
Bovendien hebben de ontwikkelaars een batchbestand toegevoegd dat opnieuw is ontworpen met meerdere lagen van verduistering, een nieuw PowerShell-script dat in het geheugen wordt uitgevoerd om kwaadaardige acties uit te voeren, en het gebruik van Themida — een legitieme toepassing om kraken te voorkomen of reverse-engineering — om de uiteindelijke Trojan-payload te beschermen.
Eenmaal geïnstalleerd op een kwetsbare machine, zal Mekotio proberen toegangsgegevens voor banken en financiële diensten te exfiltreren en deze over te dragen naar een command-and-control (C2) server die wordt beheerd door de operators.
“Een van de kenmerken van die bankiers, zoals Mekotio, is de modulaire aanval die de aanvallers de mogelijkheid geeft om slechts een klein deel van het geheel te veranderen om detectie te voorkomen”, zeggen de onderzoekers. “CPR ziet dat veel oude kwaadaardige code lange tijd wordt gebruikt, en toch slagen de aanvallen erin om onder de radar van AV's en EDR-oplossingen te blijven door het veranderen van packers of verduisteringstechnieken zoals een substitutiecodering.”
Eerdere en gerelateerde berichtgeving
Maak kennis met Janeleiro: een nieuw bedrijf dat de bancaire Trojaanse paarden aanvalt, doelwitten van de overheid
Bizarro-trojan voor bankieren stijgt in heel Europa
Trojan voor banken evolueert van distributie via porno naar phishing-schema's
br>
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters