Um relatório da Check Point mostrou que a empresa detectou e bloqueou mais de 100 ataques cibernéticos em diversos países latino-americanos, nos últimos três meses, que utilizaram uma forma evoluída do trojan bancário conhecido por Mekotio.
Uma das principais características desse trojan focado em Windows é o ataque modular que dá aos invasores a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. A última onda de ataques teve como alvo vítimas localizadas no Brasil, Chile, México, Peru e Espanha.
Os pesquisadores acreditam que os responsáveis pelos ataques estejam no Brasil e estão trabalhando em conjunto com grupos de criminosos cibernéticos espanhóis. O site Olhar Digital aponta algumas questões curiosas por se tratar de um malware brasileiro:
A “brasilidade” do malware está, por assim dizer, no seu próprio código. O Mekotio “mapeia” cada etapa de suas ações com a riqueza do nosso léxico.
No código, desde termos errados (“sentopeia” e “xuxura”) foram encontrados para as etapas do hacking. Gírias (“marginal”, “loirao” e “superman”) e até palavrões (“bu**tão” e “bai**la”) também faziam parte das etapas.
A nova versão do malware Mekotio foi projetado para comprometer os sistemas através de uma cadeia de ataques que começa com e-mails de phishing disfarçados como recibos de impostos pendentes e contendo um link ou um anexo para um arquivo ZIP. Ao clicar em abrir o arquivo ZIP, uma execução de um script em lote é executada e um script PowerShell é acionado para baixar um arquivo ZIP de segundo estágio.
Este segundo arquivo ZIP contém três arquivos diferentes - um interpretador AutoHotkey (AHK), um script AHK e a DLL do Mekotio. O script PowerShell mencionado anteriormente chama o interpretador AHK para executar o script AHK, que executa a carga DLL para roubar senhas de internet banking e enviar os resultados para um servidor remoto.
Kobi Eisenkraft, pesquisador da Check Point, conclui:
Nós recomendamos fortemente que as pessoas localizadas nas regiões onde o Mekotio é mais atuante usem a autenticação de dois fatores sempre que possível, além de tomarem cuidado erros de ortografia em e-mails ou sites e remetentes desconhecidos de mensagens.
Fontes: The Hacker News e Olhar Digital
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
