Несмотря на аресты лиц, связанных с распространением банковского трояна Mekotio, вредоносное ПО продолжает использоваться в новых атаках.
В среду, Check Point Research (CPR) опубликовал анализ на Mekotio, модульном банковском троянце удаленного доступа (RAT), который нацелен на жертв в Бразилии, Чили, Мексике, Испании и Перу – и теперь вернулся с новой тактикой, позволяющей избежать обнаружения.
В октябре правоохранительные органы произвел 16 арестов в отношении Mekotio и троянцев Grandoreiro по всей Испании. Подозреваемые якобы отправили тысячи фишинговых писем для распространения троянца, а затем использовали их для кражи учетных данных банковских и финансовых служб.
По сообщениям местных СМИ, было украдено 276 470 евро, но попытки перевода на сумму 3 500 000 евро были, к счастью, заблокированы.
Исследователи сердечно-легочной реанимации Арие Ольштейн и Абедалла Хадра говорят, что арестам удалось лишь помешать распространению вируса по Испании, и, поскольку группа, вероятно, сотрудничала с другими преступными группировками, вредоносное ПО продолжает распространяться.
После того, как испанская гражданская гвардия объявила об арестах, разработчики Mekotio, подозреваемые в нахождении в Бразилии, быстро переработали свое вредоносное ПО, добавив новые функции, призванные избежать обнаружения.
Вектор заражения Mekotio остался прежним: фишинговые письма либо содержат ссылки, либо имеют прикрепленный вредоносный архив .ZIP, содержащий полезную нагрузку. Однако анализ более 100 атак, произошедших за последние месяцы, выявил использование простого метода обфускации и подстановочного шифра для обхода обнаружения антивирусными продуктами.
Кроме того, разработчики включили пакетный файл, переработанный с несколькими уровнями обфускации, новый сценарий PowerShell, который запускается в памяти для выполнения вредоносных действий, и использование Themida – законного приложения для предотвращения взлома или обратного проектирования – для защиты последняя полезная нагрузка троянца.
После установки на уязвимую машину Mekotio попытается извлечь учетные данные для доступа к банкам и финансовым службам и передать их на командно-управляющий (C2) сервер, контролируемый его операторами.
«Одной из характеристик таких банкиров, как Mekotio, является модульная атака, которая дает злоумышленникам возможность изменить только небольшую часть целого, чтобы избежать обнаружения», – говорят исследователи. «CPR обнаруживает, что много старого вредоносного кода используется в течение долгого времени, и все же атакам удается оставаться вне поля зрения решений AV и EDR, меняя упаковщики или методы запутывания, такие как шифр замены».
