Cavalo de Troia bancário Mekotio retorna com força total por meio de grupos de cibercriminosos do Brasil

Cavalo de Troia bancário Mekotio retorna com força total por meio de grupos de cibercriminosos do Brasil

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, detectou e bloqueou mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída de um cavalo de Troia bancário chamado Mekotio. Portanto, segundo a Check Point, o cavalo de Troia bancário Mekotio retorna com força total por meio de grupos de cibercriminosos do Brasil.

O Mekotio, um cavalo de Troia bancário modular destinado aos países da América Latina e originário do Brasil, reapareceu recentemente com um novo fluxo de infecção. A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas implicadas na distribuição do Mekotio em julho de 2021.

O Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos.

Cavalo de Troia bancário Mekotio retorna com força total por meio de grupos de cibercriminosos do Brasil

Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro.

Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente.

Como funciona a nova versão do Mekotio

A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”.

Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos:

  • Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce.
  • Um novo script PowerShell sem arquivo que é executado diretamente na memória.
  • Uso de Themida v3 para empacotar a carga útil final da DLL.

Nos últimos três meses (agosto, setembro e outubro de 2021), aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção.

E-mail de phishing

A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo zip como anexo. A mensagem atrai a vítima para baixar e extrair o conteúdo zip. Os e-mails capturados pela Check Point Research (CPR) informam a uma vítima que um “recibo fiscal digital está pendente de envio”. Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é baixado de um site malicioso.

Novas habilidades ocultas e técnicas de evasão

Uma das principais características do Mekotio é seu design modular, dando aos atacantes a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. Além disso, o Mekotio usa um método de criptografia antigo chamado “cifra de substituição” para ofuscar o conteúdo do arquivo e ocultar o primeiro módulo de ataque. Essa técnica simples para ocultar permite que ele não seja detectado pela maioria dos produtos antivírus e de proteção.

Além disso, os atacantes de Mekotio usam uma nova versão de uma ferramenta comercial chamada “Themida”, que empacota a carga útil com criptografia sofisticada, antidepuração e antimonitoramento.

“Embora a Guarda Civil espanhola tenha anunciado a prisão de 16 pessoas envolvidas com a distribuição do Mekotio em julho de 2021, parece que o grupo por trás do malware ainda está ativo. Está claro para nós que eles desenvolveram e distribuíram uma nova versão do cavalo de Troia bancário Mekotio que tem habilidades ocultas e técnicas de evasão muito mais eficazes. Há um perigo muito real de o Mekotio roubar nomes de usuário e senhas, a fim de obter acesso a instituições financeiras”, afirma Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software Technologies.

Segundo Eisenkraft, consequentemente, as prisões interromperam a atividade dos grupos da Espanha, mas não dos principais grupos de cibercrimes por trás de Mekotio. Ele aponta algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware:

  • Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção.
  • Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção.
  • Utilizam ambientes de nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos.

“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft.

Como as pessoas devem se manter protegidas

  • Ter cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.
  • Ter atenção com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que o usuário normalmente não faria.
  • Certificar-se de solicitar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, pesquisar no Google ou em outro mecanismo de busca, a loja ou o estabelecimento desejado e clicar no link da página de resultados do buscador.
  • Ter cuidado com as ofertas “especiais” que não parecem ser oportunidades de compra confiáveis.
  • Certificar-se de não reutilizar senhas entre diferentes aplicativos e contas.
Acesse a versão completa
Sair da versão mobile