Trots gripandet av individer med anknytning till spridningen av Mekotio-banktrojanen, fortsätter skadlig programvara att användas i nya attacker.
I onsdags publicerade Check Point Research (CPR) en analys av Mekotio, en modulär banktrojan för fjärråtkomst (RAT) som riktar sig till offer i Brasilien, Chile, Mexiko, Spanien och Peru – och är nu tillbaka med ny taktik för att undvika upptäckt.
I oktober gjorde polisen 16 arresteringar i samband med Mekotio och Grandoreiro-trojanerna över hela Spanien. De misstänkta ska ha skickat tusentals nätfiske-e-postmeddelanden för att distribuera trojanen och sedan användas för att stjäla bank- och finanstjänstuppgifter.
Rapporter i lokala medier tyder på att 276 470 euro stals, men överföringsförsök – tack och lov, blockerade – värda 3 500 000 euro gjordes.
HLR-forskarna Arie Olshtein och Abedalla Hadra säger att arresteringarna bara lyckades störa distributionen över hela Spanien, och eftersom gruppen sannolikt samarbetade med andra kriminella enheter fortsätter skadlig programvara att spridas.
När det spanska civilgardet tillkännagav arresteringarna, återhämtade Mekotios utvecklare, misstänkta för att finnas i Brasilien, snabbt sin skadliga programvara med nya funktioner utformade för att undvika upptäckt.
Mekotios infektionsvektor har förblivit densamma, där nätfiske-e-postmeddelanden antingen innehåller länkar till eller har ett skadligt .ZIP-arkiv bifogat som innehåller nyttolasten. En analys av över 100 attacker som ägt rum under de senaste månaderna har emellertid avslöjat användningen av en enkel obfuskeringsmetod och ett substitutionschiffer för att kringgå upptäckt av antivirusprodukter.
Dessutom har utvecklarna inkluderat en batchfil omdesignad med flera lager av förvirring, ett nytt PowerShell-skript som körs i minnet för att utföra skadliga åtgärder, och användningen av Themida – en legitim applikation för att förhindra sprickbildning eller omvänd konstruktion — för att skydda den slutliga trojanska nyttolasten.
När det väl har installerats på en sårbar maskin kommer Mekotio att försöka exfiltrera åtkomstuppgifter för banker och finansiella tjänster och kommer att överföra dem till en kommando-och-kontroll-server (C2) som kontrolleras av dess operatörer.
“En av egenskaperna hos dessa bankirer, som Mekotio, är den modulära attacken som ger angriparna möjligheten att bara ändra en liten del av helheten för att undvika upptäckt”, säger forskarna. “CPR ser mycket gammal skadlig kod som använts under lång tid, och ändå lyckas attackerna hålla sig under radarn av AV:er och EDR-lösningar genom att byta packare eller fördunklingstekniker som ett substitutionschiffer.”
Tidigare och relaterad bevakning
Träffa Janeleiro: ett nytt banktrojanskt företag, statligt mål
Bizarro banking Trojan ökar över hela Europa
Banking Trojan utvecklas från distribution via porr till nätfiskesystem< br>
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter