Mekotio: обновлённый банковский троян нацелился на Латинскую Америку
Активный с 2015 года, вредонос продолжает эволюционировать и наращивать свой функционал.
Финансовые учреждения Латинской Америки сталкиваются с новой угрозой в виде банковского трояна Mekotio, также известного как Melcoz. По данным из недавнего отчёта компании Trend Micro, в последнее время наблюдается рост кибератак, связанных с распространением этого вредоносного ПО для Windows.
Троян Mekotio активен с 2015 года и нацелен на страны Латинской Америки, такие как Бразилия, Чили, Мексика, Испания, Перу и Португалия, с целью кражи банковских данных. Впервые он был задокументирован компанией ESET в августе 2020 года. Mekotio входит в группу банковских троянов, среди которых также Guildma, Javali и Grandoreiro.
Специалисты ESET в своё время отметили, что Mekotio имеет характерные черты подобных вредоносных программ: он написан на языке Delphi, использует поддельные всплывающие окна, обладает функциями удалённого доступа и нацелен на страны, где говорят на испанском и португальском языках.
Операция по распространению Mekotio понесла удар в июле 2021 года, когда испанские правоохранительные органы арестовали 16 человек, причастных к кампаниям социальной инженерии, направленным на европейских пользователей.
Выявленная экспертами Trend Micro цепочка атак, ведущая к заражению Mekotio, начинается с фишинговых писем на тему налогов, которые побуждают получателей открыть вредоносные вложения или перейти по поддельным ссылкам, что приводит к загрузке MSI-файла установщика, использующего скрипт AutoHotKey (AHK) для запуска трояна.
Данный процесс заражения Mekotio отличается от предыдущего, описанного компанией Check Point в ноябре 2021 года, где использовался запутанный батч-скрипт, запускающий PowerShell для загрузки ZIP-файла со скриптом AHK.
После установки Mekotio собирает системную информацию и устанавливает связь с C2-сервером для получения дальнейших инструкций. Основная цель трояна — кража банковских данных путём отображения поддельных всплывающих окон, имитирующих легитимные банковские сайты. Также он может делать скриншоты, записывать нажатия клавиш, красть данные из буфера обмена и обеспечивать своё постоянное присутствие на заражённом устройстве.
Украденная информация позволяет злоумышленникам получать несанкционированный доступ к банковским счетам пользователей и совершать мошеннические транзакции. Trend Micro подчёркивают, что Mekotio является устойчивой и постоянно развивающейся угрозой для финансовых систем, особенно в странах Латинской Америки.