O trojan Mekotio simula uma atualização de segurança e é capaz de roubar bitcoins e credenciais de acesso dos utilizadores afetados
Os investigadores da Eset têm estado atentos a um malware do tipo trojan especificamente criado para atacar aplicações bancárias em língua Portuguesa e Espanhola. Batizado de Mekotio, este malware afeta sobretudo países latinos como o Brasil, Chile, México, Espanha, Peru e Portugal. Uma vez infetado o computador, o Mekotio executa diversas atividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas afetadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome. O Mekotio tem estado ativo desde pelo menos 2015 e, tal como outros trojans bancários investigados pela Eset, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de backdoor. De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma atualização de software usando uma mensagem numa janela específica. Há muito detalhes técnicos que o Mekotio é capaz de recolher das suas vítimas, incluindo informação sobre a configuração do firewall do computador, privilégios de administração, qual a versão do Windows da máquina infetada, e uma lista de produtos antifraude e antimalware eventualmente instalados. Um dos comandos usados pelo malware é capaz de desativar a máquina da vítima ao tentar remover todos os ficheiros e pastas do diretório C:\Windows. "Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQL como um servidor C&C [comand & control] e a forma como é capaz de abusar do interpretador AutoIt legítimo como o seu método primário de execução", explica Robert Šuman, o investigador da Eset que liderou a equipa que analisou o Mekotio. Este malware é predominantemente distribuído através de spam. Desde 2018, os investigadores da Eset observaram um total de 38 cadeias de distribuição diferentes usadas por esta família de malware. A maioria destas cadeias consiste em vários estágios e terminam com o download de um ficheiro ZIP – um comportamento típico dos trojans bancários que circulam no espaço latino-americano. "O Mekotio seguiu um caminho de desenvolvimento de alguma forma caótico, com as suas funcionalidades a serem alteradas frequentemente. Com base nos dados internos relativos às suas versões, a Eset acredita que existem múltiplas variantes que foram desenvolvidas em simultâneo", concluiu Šuman. |