Скрытая версия банковского трояна Mekotio обнаружена в дикой природе

37
США выступают против предложения China Telecom о продолжении операций в США

Новая версия банковского трояна, известного как Mekotio, развертывается в «дикой природе», и аналитики вредоносных программ сообщают, что он использует новый, более скрытый поток заражения.

Последняя заметная активность Mekotio датируется летом 2020 года, когда операторы троянца развернули его в кампании, нацеленной на страны Латинской Америки.

Область таргетинга, по-видимому, такая же, как и в недавних атаках, при этом испанский язык является предпочтительным языком для фишинговых писем, которые запускают цепочку заражения.

Новый поток атаки

Заражение начинается с фишингового сообщения электронной почты, содержащего вложение ZIP, содержащее запутанный пакетный сценарий, который выбирает и выполняет сценарий PowerShell.

После запуска сценария PowerShell он загрузит второй ZIP-архив после некоторых основных проверок местоположения и антианализа.

Если проверки подтверждают, что жертва находится в Латинской Америке и вредоносная программа не запущена на виртуальной машине, извлекается второй ZIP-файл, содержащий полезные данные Mekotio в форме DLL.

Многоступенчатые потоки атаки, подобные приведенному выше, могут показаться излишне сложными, но они необходимы, чтобы избежать обнаружения и успешно развернуть конечную полезную нагрузку.

Одним из преимуществ модульных атак является добавленная способность вносить незначительные изменения, которые делают предыдущие методы обнаружения бесполезными.

Именно так обстоит дело при разработке Mekotio, поскольку код трояна в основном остался неизменным, а его авторы в основном настраивали вещи, а не добавляли новые возможности.

Тот же старый код в новой упаковке

Три новых элемента, которые затрудняют обнаружение последней версии Mekotio:

  • Более скрытый командный файл с как минимум двумя уровнями обфускации.
  • Новый безфайловый сценарий PowerShell, который запускается непосредственно в памяти
  • Использование Themida v3 для упаковки конечной полезной нагрузки DLL

CheckPoint сообщает,  что за последние три месяца было зафиксировано около 100 атак с использованием методов подстановки шифров, которые, хотя и простые, помогают Mekotio оставаться незамеченными большинством антивирусных продуктов.

Второй уровень обфускации — это разделение команд PowerShell на части, сохраненные в различных переменных среды, а затем объединение значений во время выполнения.

Основной целью троянца остается кража учетных данных пользователей в системе электронного банкинга и паролей учетных записей в Интернете.

Некоторые предыдущие варианты Mekotio также могли перехватывать платежи в криптовалюте и направлять их в кошельки, контролируемые субъектом, но в последних версиях эта функция была удалена.

CheckPoint сообщает, что новая кампания была запущена сразу после того, как испанская гражданская гвардия арестовала 16 человек в Мексике, связанных с местным распространением Mekotio.

Однако основная команда Mekotio, похоже, базируется в Бразилии, и предполагается, что они являются создателями Mekotio, которые теперь продают ее другим киберпреступникам.

В прошлом году ESET охарактеризовал этот конкретный троян как «хаотический» из-за параллельной разработки, которая привела к одновременному распространению различных вариантов.

Сейчас эта активность снизилась, и в последней кампании используется вариант, проанализированный CheckPoint.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here