Cavalo de Troia bancário retorna com força total por meio de grupos de cibercriminosos

Pesquisadores localizaram as principais áreas geográficas de atuação no Brasil, Chile, México, Peru e Espanha, onde recomendam precauções extremas

Compartilhar:

A Check Point detectou e bloqueou mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída de um cavalo de Troia bancário chamado Mekotio.

 

O Mekotio, um cavalo de Troia bancário modular destinado aos países da América Latina e originário do Brasil , reapareceu recentemente com um novo fluxo de infecção. A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas implicadas na distribuição do Mekotio em julho de 2021.

 

O Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos.

 

Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro.

 

Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente.

 

Como funciona a nova versão do Mekotio

 

A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”.

 

Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos:

 

• Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce.

• Um novo script PowerShell sem arquivo que é executado diretamente na memória.

• Uso de Themida v3 para empacotar a carga útil final da DLL.

 

Nos últimos três meses (agosto, setembro e outubro de 2021), aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção.

 

E-mail de phishing

 

A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo zip como anexo. A mensagem atrai a vítima para baixar e extrair o conteúdo zip. Os e-mails capturados pela Check Point Research (CPR) informam a uma vítima que um “recibo fiscal digital está pendente de envio”. Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é baixado de um site malicioso.

 

Novas habilidades ocultas e técnicas de evasão

 

Uma das principais características do Mekotio é seu design modular, dando aos atacantes a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. Além disso, o Mekotio usa um método de criptografia antigo chamado “cifra de substituição” para ofuscar o conteúdo do arquivo e ocultar o primeiro módulo de ataque. Essa técnica simples para ocultar permite que ele não seja detectado pela maioria dos produtos antivírus e de proteção.

 

Além disso, os atacantes de Mekotio usam uma nova versão de uma ferramenta comercial chamada “Themida”, que empacota a carga útil com criptografia sofisticada, antidepuração e antimonitoramento.

 

“Embora a Guarda Civil espanhola tenha anunciado a prisão de 16 pessoas envolvidas com a distribuição do Mekotio em julho de 2021, parece que o grupo por trás do malware ainda está ativo. Está claro para nós que eles desenvolveram e distribuíram uma nova versão do cavalo de Troia bancário Mekotio que tem habilidades ocultas e técnicas de evasão muito mais eficazes. Há um perigo muito real de o Mekotio roubar nomes de usuário e senhas, a fim de obter acesso a instituições financeiras”, afirma Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software Technologies.

 

Segundo Eisenkraft, consequentemente, as prisões interromperam a atividade dos grupos da Espanha, mas não dos principais grupos de cibercrimes por trás de Mekotio. Ele aponta algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware:

 

• Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção.

• Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção.

• Eles utilizam ambientes de nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos.

 

“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft.

 

Como as pessoas devem se manter protegidas

 

• Ter cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.

 

• Ter atenção com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que o usuário normalmente não faria.

 

• Certificar-se de solicitar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, pesquisar no Google ou em outro mecanismo de busca, a loja ou o estabelecimento desejado e clicar no link da página de resultados do buscador.

 

• Ter cuidado com as ofertas “especiais” que não parecem ser oportunidades de compra confiáveis.

 

• Certificar-se de não reutilizar senhas entre diferentes aplicativos e contas.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...