[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

trojan-bancario.jpg

Cavalo de Troia Mekotio retorna por meio hackers brasileiros

O Mekotio, cavalo de Troia bancário modular destinado aos países da América Latina e originário do Brasil,reapareceu recentemente com um novo fluxo de infecção. Pesquisadores de segurança da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, detectaram e bloquearam mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída do trojan.

A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas implicadas na distribuição do Mekotio em julho. Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. 

Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos. 

Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro. 

Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente. 

Como funciona a nova versão do Mekotio 

A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”.

Exemplo A: e-mail de phishing 


Os pesquisadores da CPR fizeram um diagrama do fluxo de ataque completo: 

Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos: 

• Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce. 

• Um novo script PowerShell sem arquivo que é executado diretamente na memória. 

• Uso de Themida v3 para empacotar a carga útil final da DLL.

Veja isso
ESET alerta para Vadokrist, trojan bancário focado no Brasil 
Novo trojan se propaga como ‘mod’ do WhatsApp

Nos últimos três meses — agosto, setembro e outubro de 2021 —, aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção. 

Novas habilidades ocultas e técnicas de evasão 

Uma das principais características do Mekotio é seu design modular, dando aos atacantes a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. Além disso, o Mekotio usa um método de criptografia antigo chamado “cifra de substituição” para ofuscar o conteúdo do arquivo e ocultar o primeiro módulo de ataque. Essa técnica simples para ocultar permite que ele não seja detectado pela maioria dos produtos antivírus e de proteção. 

Além disso, os operadores do Mekotio usam uma nova versão de uma ferramenta comercial chamada “Themida”, que empacota a carga útil com criptografia sofisticada, antidepuração e antimonitoramento. 

“Embora a Guarda Civil espanhola tenha anunciado a prisão de 16 pessoas envolvidas com a distribuição do Mekotio em julho, parece que o grupo por trás do malware ainda está ativo. Está claro para nós que eles desenvolveram e distribuíram uma nova versão do cavalo de Troia bancário que tem habilidades ocultas e técnicas de evasão muito mais eficazes. Há um perigo muito real de o Mekotio roubar nomes de usuário e senhas, a fim de obter acesso a instituições financeiras”, afirma Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software. 

Segundo Eisenkraft, consequentemente, as prisões interromperam a atividade dos grupos da Espanha, mas não dos principais grupos de cibercrimes por trás de Mekotio. Ele aponta algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware: 

• Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção. 

• Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção. 

• Eles utilizam ambientes de nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos. 

“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft.