Mekotio - это сложный банковский троянец, активно работающий как минимум с 2015 года и нацеленный в первую очередь на страны Латинской Америки для кражи конфиденциальной информации, в частности банковских реквизитов, у своих жертв.
Mekotio Trojan
Вредоносная программа родом из Латинской Америки и была особенно распространена в таких странах, как Бразилия, Чили, Мексика, Испания и Перу. Судя по всему, Mekotio имеет общее происхождение с другими известными латиноамериканскими банковскими вредоносными программами, такими как Grandoreiro, которая была ликвидирована правоохранительными органами в начале этого года. Mekotio часто распространяется через фишинговые письма, используя социальную инженерию, чтобы обманом заставить пользователей перейти по вредоносным ссылкам или вложениям.
В последнее время среди наших клиентов наблюдается всплеск атак на Mekotio. В этой статье мы расскажем об этом троянце и его функциональных возможностях. Mekotio обычно приходит по электронной почте, выдавая себя за сообщения от налоговых органов, утверждающих, что у пользователя есть неоплаченные налоговые обязательства. Такие письма содержат вложение в виде ZIP-файла или ссылку на вредоносный веб-сайт. После того как пользователь взаимодействует с письмом, вредоносная программа загружается и исполняется в его системе. В нашем анализе вложение представляло собой PDF-файл, содержащий вредоносную ссылку.
После выполнения Mekotio собирает системную информацию и устанавливает соединение с командно-контрольным (C&C) сервером. Этот сервер предоставляет вредоносной программе инструкции и список задач, которые она должна выполнить. Mekotio выполняет различные вредоносные действия, включая кражу учетных данных путем отображения поддельных всплывающих окон, имитирующих законные банковские сайты, и обмана пользователей, заставляя их вводить свои данные, которые троянец затем собирает. Он также собирает информацию, делая скриншоты, записывая нажатия клавиш и похищая данные буфера обмена. Mekotio использует различные тактики для поддержания устойчивости в зараженной системе, например, добавляет себя в стартовые программы или создает запланированные задачи.
Похищенная банковская информация отправляется обратно на C&C-сервер, где она может быть использована злоумышленниками для мошеннических действий, например, для несанкционированного доступа к банковским счетам.
Indicators of Compromise
IPv4 Port Combinations
- 23.239.4.149:80
- 34.117.186.192:80
- 68.221.121.160:80
- 68.221.121.160:9095
- 68.233.238.122:80
Domains
- tudoprafrente.org
Domain Port Combinations
- tudoprafrente.co:7958
URLs
- https://christcrucifiedinternational.org/descargafactmayo/eletricidad/
- https://intimaciones.afip.gob.ar.kdental.cl/Documentos_Intimacion/
- https://techpowerup.net/cgefacturacl/descargafactmayo/eletricidad/
SHA1
- 1087b318449d7184131f0f21a2810013b166bf37
- 3fe5d098952796c0593881800975bcb09f1fe9ed
- 5e92f0fcddc1478d46914835f012137d7ee3c217
- ef22c6b4323a4557ad235f5bd80d995a6a15024a
- f68d3a25433888aa606e18f0717d693443fe9f5a
