A empresa de segurança CYFIRMA descobriu novos ataques do trojan bancário Mekotio, um malware agora mais sofisticado, que está se infiltrando em sistemas em todo o mundo. Utilizando a linguagem PowerShell, ele rouba informações confidenciais e causa estragos. O Mekotio emprega um script PowerShell meticulosamente criptografado para disfarçar suas ações maliciosas. Inicialmente, ele coleta dados cruciais sobre o sistema infectado, como localização, nome do dispositivo, nome de usuário, versão do sistema operacional e a presença de softwares de segurança. Em seguida, estabelece uma conexão secreta com um servidor de comando e controle remoto (C2), de onde recebe instruções e arquivos adicionais.
Leia também
Mekotio volta a ameaçar apps bancários na América Latina
Novo trojan para Android imita app de atualização do Google Play
Esses arquivos, uma vez baixados, são instalados em uma área oculta do sistema e configurados para iniciar automaticamente ao ligar o computador. Entre eles, encontram-se componentes executáveis e scripts que possibilitam a execução de ataques subsequentes. O estudo da CYFIRMA indica que o servidor de comando do Mekotio está hospedado nos Estados Unidos, no provedor GoDaddy. Além disso, o código do malware contém comentários em português, sugerindo a possível participação de cibercriminosos brasileiros ou portugueses nessa campanha.
“O Mekotio demonstra a crescente sofisticação dos ataques cibernéticos”, alerta o chefe de pesquisa da CYFIRMA. “Sua capacidade de se camuflar e persistir em sistemas comprometidos o torna uma ameaça significativa.” Para dificultar ainda mais a detecção, o Mekotio utiliza diversas técnicas de ofuscação, como criptografia XOR personalizada e embaralhamento de código. Essas estratégias tornam a análise do malware uma tarefa complexa e demorada, exigindo expertise técnica avançada.
Além disso, o trojan Mekotio demonstra consciência da presença de softwares de segurança, buscando identificar e evadir as soluções antivírus mais comuns. Essa capacidade de adaptação o torna ainda mais perigoso.
Apesar da complexidade do Mekotio, os pesquisadores da CYFIRMA desenvolveram uma assinatura única para identificar o malware. Essa assinatura agregada às regras YARA permitirá que as soluções de segurança detectem e bloqueiem o Trojan de forma mais eficaz.