A Check Point detectou e bloqueou mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída de um cavalo de Troia bancário chamado Mekotio.
O Mekotio, um cavalo de Troia bancário modular destinado aos países da América Latina e originário do Brasil , reapareceu recentemente com um novo fluxo de infecção. A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas implicadas na distribuição do Mekotio em julho de 2021.
O Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos.
Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro.
Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente.
Como funciona a nova versão do Mekotio
A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”.
Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos:
• Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce.
• Um novo script PowerShell sem arquivo que é executado diretamente na memória.
• Uso de Themida v3 para empacotar a carga útil final da DLL.
Nos últimos três meses (agosto, setembro e outubro de 2021), aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção.
E-mail de phishing
A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo zip como anexo. A mensagem atrai a vítima para baixar e extrair o conteúdo zip. Os e-mails capturados pela Check Point Research (CPR) informam a uma vítima que um “recibo fiscal digital está pendente de envio”. Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é baixado de um site malicioso.
Novas habilidades ocultas e técnicas de evasão
Uma das principais características do Mekotio é seu design modular, dando aos atacantes a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. Além disso, o Mekotio usa um método de criptografia antigo chamado “cifra de substituição” para ofuscar o conteúdo do arquivo e ocultar o primeiro módulo de ataque. Essa técnica simples para ocultar permite que ele não seja detectado pela maioria dos produtos antivírus e de proteção.
Além disso, os atacantes de Mekotio usam uma nova versão de uma ferramenta comercial chamada “Themida”, que empacota a carga útil com criptografia sofisticada, antidepuração e antimonitoramento.
“Embora a Guarda Civil espanhola tenha anunciado a prisão de 16 pessoas envolvidas com a distribuição do Mekotio em julho de 2021, parece que o grupo por trás do malware ainda está ativo. Está claro para nós que eles desenvolveram e distribuíram uma nova versão do cavalo de Troia bancário Mekotio que tem habilidades ocultas e técnicas de evasão muito mais eficazes. Há um perigo muito real de o Mekotio roubar nomes de usuário e senhas, a fim de obter acesso a instituições financeiras”, afirma Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software Technologies.
Segundo Eisenkraft, consequentemente, as prisões interromperam a atividade dos grupos da Espanha, mas não dos principais grupos de cibercrimes por trás de Mekotio. Ele aponta algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware:
• Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção.
• Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção.
• Eles utilizam ambientes de nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos.
“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft.
Como as pessoas devem se manter protegidas
• Ter cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.
• Ter atenção com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que o usuário normalmente não faria.
• Certificar-se de solicitar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, pesquisar no Google ou em outro mecanismo de busca, a loja ou o estabelecimento desejado e clicar no link da página de resultados do buscador.
• Ter cuidado com as ofertas “especiais” que não parecem ser oportunidades de compra confiáveis.
• Certificar-se de não reutilizar senhas entre diferentes aplicativos e contas.