Trojan bancário Mekotio volta em força visando países da América Latina e Península Ibérica

Equipa de investigação da Check Point Software detetou e bloqueou recentemente mais de 100 ciberataques.

 A Check Point Research, detetou e bloqueou mais de 100 ciberataques que tinham como alvo países da América Latina e da Península Ibérica. O ataque envolvia a versão evoluída de um trojan bancário chamado Mekotio.

Acredita-se que a linha Mekotio seja da autoria de grupos de cibercrime brasileiros que alugam a outros grupos o acesso às suas ferramentas de ataque. Estes últimos são responsáveis pela distribuição do trojan e pela lavagem dos fundos. Desenvolvido para visar computadores Windows, o Mekotio é conhecido por utilizar e-mails falsificados que imitam organizações legítimas. Depois de uma vítima ser infetada, o trojan bancário permanece escondido, à espera que os utilizadores entrem nas contas bancárias eletrónicas, recolhendo silenciosamente as suas credenciais.

Em julho deste ano, as autoridades espanholas prenderam 16 suspeitos sob acusação de branqueamento de fundos roubados através da trojan bancário Mekotio, entre outros. As recentes observações da CPR revelam que os agentes maliciosos por detrás do Mekotio continuam ativos, distribuindo uma nova versão do Mekotio com novas e melhoradas capacidades de dissimulação e evasão.

De acordo com os ciberataques detetados pela Check Point Research, os países alvos do Mekotio incluem o Brasil, Chile, México, Peru e Península Ibérica.

Como se processam os ataques do novo Mekotio

A infeção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um ficheiro zip como anexo. A mensagem incita a vítima a descarregar e extrair o conteúdo do zip. As mensagens de correio eletrónico identificadas pela CPR alegavam uma suposta “submissão pendente de recibo de imposto digital”. Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é descarregado.

Graphical user interface, application, Teams

Description automatically generated
Fig. 1 E-mail de phishing
Diagram

Description automatically generated
Fig. 2 A CPR descreveu a cadeia de ataque da seguinte forma

Novas técnicas de roubo e evasão

Uma das características chave do Mekotio é a sua conceção modular, que dá aos atacantes a capacidade de mudar uma pequena parte do todo e, assim, evitar a deteção. Além disso, o Mekotio utiliza um método de encriptação antigo chamado “cifra de substituição” para ofuscar o conteúdo do ficheiro e esconder o primeiro módulo de ataque. Esta técnica simples de ofuscação permite que passe despercebido pela maioria dos AntiVirus. Além disso, os agentes maliciosos da Mekotio utilizam uma nova versão de uma ferramenta comercial chamada “Themida”, que envolve o payload com encriptação sofisticada, anti debug, e anti monitorização.

Kobi Eisenkraft, Malware Research & Protection Team Leader da Check Point Software afirma:

“Embora a Guarda Civil espanhola tenha anunciado a detenção de 16 pessoas envolvidas na distribuição de Mekotio em Julho de 2021, parece que o bando por detrás do malware ainda está ativo. É claro para nós que eles desenvolveram e distribuíram uma nova versão do banker Mekotio que tem capacidades furtivas e técnicas de evasão muito mais eficazes. Existe um perigo muito real de que o banker Mekotio roube nomes de utilizador e palavras-passe, a fim de obter a entrada em instituições financeiras. Além disso, as detenções pararam a atividade dos bandos espanhóis, mas não os principais grupos de cibercrime por detrás do Mekotio. Sabemos algumas coisas sobre os agentes maliciosos por detrás do Mekotio, que opera a partir do Brasil e colabora com os gangues europeus para distribuir o malware:

  • Gostam de utilizar uma infraestrutura de entrega em várias fases, para não serem detetados
  • Utilizam principalmente e-mails de phishing como o primeiro vetor de infeção
  • Utilizam os ambientes cloud da Microsoft e da Amazon para alojar os ficheiros maliciosos

Recomenda-se vivamente as pessoas nas regiões alvo conhecidas do Mekotio a usarem autenticação de dois fatores sempre que esta estiver disponível e a terem cuidado com domínios semelhantes, erros ortográficos em emails ou websites, e remetentes de emails desconhecidos”.

Como manter-se protegido

  1. Esteja atento a domínios semelhantes, erros ortográficos em e-mails ou websites e remetentes desconhecidos
  2. Seja cuidadoso com ficheiros recebidos via e-mail provindos de endereços de e-mail que não conhece, especialmente se incitarem à realização de alguma ação suspeita
  3. Certifique-se que encomenda bens de fontes seguras. Para tal, não clique em links promocionais em e-mails. Em vez disso, faça a pesquisa orgânica no Google
  4. Cuidado com ofertas especiais e oportunidades de compra que parecem demasiado boas para serem verdade
  5. Não reutilize palavras-passe entre diferentes contas e plataformas



Deixe um comentário

O seu email não será publicado