[ Tráfego 9/Out a 7/Nov: 378.007 page views - 147.200 usuários ] - [ Newsletter 5.521 assinantes Open rate 27%]

trojan-malware-cavalo-de-troia.jpg

Trojan Mekotio reforça truques em nova campanha

Da Redação
02/09/2024

A empresa de segurança CYFIRMA descobriu novos ataques do trojan bancário Mekotio, um malware agora mais sofisticado, que está se infiltrando em sistemas em todo o mundo. Utilizando a linguagem PowerShell, ele rouba informações confidenciais e causa estragos. O Mekotio emprega um script PowerShell meticulosamente criptografado para disfarçar suas ações maliciosas. Inicialmente, ele coleta dados cruciais sobre o sistema infectado, como localização, nome do dispositivo, nome de usuário, versão do sistema operacional e a presença de softwares de segurança. Em seguida, estabelece uma conexão secreta com um servidor de comando e controle remoto (C2), de onde recebe instruções e arquivos adicionais.

Leia também
Mekotio volta a ameaçar apps bancários na América Latina
Novo trojan para Android imita app de atualização do Google Play

Esses arquivos, uma vez baixados, são instalados em uma área oculta do sistema e configurados para iniciar automaticamente ao ligar o computador. Entre eles, encontram-se componentes executáveis e scripts que possibilitam a execução de ataques subsequentes. O estudo da CYFIRMA indica que o servidor de comando do Mekotio está hospedado nos Estados Unidos, no provedor GoDaddy. Além disso, o código do malware contém comentários em português, sugerindo a possível participação de cibercriminosos brasileiros ou portugueses nessa campanha.

“O Mekotio demonstra a crescente sofisticação dos ataques cibernéticos”, alerta o chefe de pesquisa da CYFIRMA. “Sua capacidade de se camuflar e persistir em sistemas comprometidos o torna uma ameaça significativa.” Para dificultar ainda mais a detecção, o Mekotio utiliza diversas técnicas de ofuscação, como criptografia XOR personalizada e embaralhamento de código. Essas estratégias tornam a análise do malware uma tarefa complexa e demorada, exigindo expertise técnica avançada.

Além disso, o trojan Mekotio demonstra consciência da presença de softwares de segurança, buscando identificar e evadir as soluções antivírus mais comuns. Essa capacidade de adaptação o torna ainda mais perigoso.

Apesar da complexidade do Mekotio, os pesquisadores da CYFIRMA desenvolveram uma assinatura única para identificar o malware. Essa assinatura agregada às regras YARA permitirá que as soluções de segurança detectem e bloqueiem o Trojan de forma mais eficaz.

Compartilhar: