As instituições financeiras na América Latina estão sendo ameaçadas por um banking trojan chamado Mekotio (também conhecido como Melcoz).
De acordo com as descobertas da Trend Micro, houve recentemente um aumento nos cyber attacks distribuindo o malware para Windows.
O Mekotio, que está ativo desde 2015, tem como alvos países latino-americanos como Brasil, Chile, México, Espanha, Peru e Portugal, com o objetivo de roubar credenciais bancárias.
Primeiramente documentado pela ESET em agosto de 2020, ele faz parte de uma tétrade de banking trojans mirando a região, como Guildma, Javali e Grandoreiro, este último desmantelado pelas forças de segurança no início deste ano.
"Mekotio compartilha características comuns para este tipo de malware, como ser escrito em Delphi, usar falsas janelas pop-up, conter funcionalidade de backdoor e mirar países de língua espanhola e portuguesa", disse a firma eslovaca de cybersecurity na época.
A operação do malware sofreu um golpe em julho de 2021, quando as agências de segurança espanholas prenderam 16 indivíduos pertencentes a uma rede criminosa em conexão com o orquestramento de campanhas de social engineering mirando usuários europeus que distribuíram o Grandoreiro e o Mekotio.
As cadeias de ataque envolvem o uso de phishing e-mails com temas fiscais que visam enganar os destinatários para que abram anexos maliciosos ou cliquem em links falsos que levam ao deployment de um arquivo instalador MSI, que, por sua vez, faz uso de um script AutoHotKey (AHK) para lançar o malware.
Vale ressaltar que o processo de infecção marca uma pequena desvio daquele detalhado anteriormente pela Check Point em novembro de 2021, que utilizava um script batch ofuscado que executa um script PowerShell para baixar um arquivo ZIP de segunda fase contendo o script AHK.
Uma vez instalado, o Mekotio coleta informações do sistema e estabelece contato com um servidor de command-and-control (C2) para receber instruções adicionais.
Seu objetivo principal é desviar credenciais bancárias, exibindo pop-ups falsos que se passam por sites bancários legítimos.
Ele também pode capturar screenshots, registrar keystrokes, roubar dados da área de transferência e estabelecer persistência no host usando tarefas agendadas.
As informações roubadas podem então ser usadas pelos threat actors para obter acesso não autorizado às contas bancárias dos usuários e realizar transações fraudulentas.
"O banking trojan Mekotio é uma ameaça persistente e em evolução aos sistemas financeiros, especialmente nos países latino-americanos", disse a Trend Micro.
Ele usa phishing emails para infiltrar sistemas, com o objetivo de roubar informações sensíveis enquanto também mantém uma forte presença nas máquinas comprometidas.
O desenvolvimento acontece quando a firm de cybersecurity mexicana Scitum divulgou detalhes de um novo banking trojan latino-americano codinome Red Mongoose Daemon que, de forma semelhante ao Mekotio, utiliza MSI droppers distribuídos via phishing emails se passando por faturas e notas fiscais.
"O principal objetivo de Red Mongoose Daemon é roubar as informações bancárias das vítimas, falsificando transações PIX por meio de janelas sobrepostas", disse a empresa.
Este trojan é direcionado a usuários finais brasileiros e funcionários de organizações com informações bancárias. Red Mongoose Daemon possui capacidades para manipular e criar janelas, executar comandos, controlar o computador remotamente, manipular navegadores web, sequestrar áreas de transferência e se passar por carteiras Bitcoin substituindo as carteiras copiadas pelas usadas pelos cibercriminosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...