Trojan-170.jpg

Mekotio volta a ameaçar apps bancários na América Latina

Da Redação
08/07/2024

As instituições financeiras na América Latina enfrentam uma nova ameaça do Trojan bancário Mekotio, também conhecido como Melcoz. De acordo com um relatório da Trend Micro publicado dia 4 de Julho, houve um aumento nos ataques cibernéticos relacionados à disseminação deste malware para Windows.

Veja isso
Trojan bancário Mekotio segue ativo na América Latina
Trend Micro cria subsidiária focada em segurança de redes 5G

O Trojan Mekotio está ativo desde 2015 e tem como alvo países da América Latina como Brasil, Chile, México e Peru, atacando também Espanha e Portugal para roubar dados bancários. Foi documentado pela primeira vez pela ESET em agosto de 2020. O Mekotio faz parte de um grupo de Trojans bancários que também inclui Guildma, Javali e Grandoreiro.

Os especialistas da ESET observaram na época que o Mekotio tem as características de um malware semelhante: é escrito em Delphi, usa janelas pop-up falsas, tem funções de acesso remoto e tem como alvo países onde se fala espanhol e português.

A operação de distribuição Mekotio foi atingida em julho de 2021, quando as autoridades espanholas prenderam 16 pessoas envolvidas em campanhas de engenharia social dirigidas a utilizadores europeus.

A cadeia de ataque que leva à infecção pelo Mekotio, identificada pela Trend Micro, começa com e-mails de phishing relacionados a impostos que induzem os destinatários a abrir anexos maliciosos ou clicar em links falsos, resultando no download de um arquivo instalador MSI que usa um AutoHotKey (AHK) script para iniciar o Trojan.

Este processo de infecção do Mekotio difere do anterior descrito pela Check Point em novembro de 2021, que usava um script em lote complicado que iniciava o PowerShell para baixar um arquivo ZIP com um script AHK.

Após a instalação, o Mekotio coleta informações do sistema e estabelece uma conexão com o servidor C2 para receber mais instruções. O principal objetivo do Trojan é roubar dados bancários, exibindo janelas pop-up falsas que imitam sites bancários legítimos. Ele também pode fazer capturas de tela, registrar pressionamentos de teclas, roubar dados da área de transferência e garantir sua presença constante no dispositivo infectado.

As informações roubadas permitem que os invasores obtenham acesso não autorizado às contas bancárias dos usuários e cometam transações fraudulentas. A Trend Micro enfatiza que o Mekotio é uma ameaça persistente e em evolução aos sistemas financeiros, especialmente na América Latina.

Compartilhar: