Mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída de um cavalo de Troia bancário chamado Mekotio, com origem brasileira, foram bloqueados pela Check Point Research. O Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos.
Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro. Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente.
Como funciona a nova versão do Mekotio
A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”. Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos:
• Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce.
• Um novo script PowerShell sem arquivo que é executado diretamente na memória.
• Uso de Themida v3 para empacotar a carga útil final da DLL.
Nos últimos três meses (agosto, setembro e outubro de 2021), aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção.
Especialistas da Check Point apontam algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware:
• Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção.
• Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção.
• Eles utilizam ambientes de nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos.
“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software Technologies.
Fonte: Convergência Digital
