Исследования ESET. Хакеры улучшили банковский троян Mekotio.

Эксперты ESET выявили новые возможности трояна Mekotio. Ранее удалось узнать, что вредонос похищает у пользователей криптовалюту. На данный момент известно, что Mekotio имеет типичные функции бэкдора: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским сайтам, а также кража учетных данных из Google Chrome и биткоинов. Троян использует C&C-сервер и базы данных SQL.

Вредонос маскируется под обновление, якобы необходимое для обеспечения безопасности устройства. Чаще всего Mekotio прячется в спаме. Цепочка распространения включает несколько этапов и завершается загрузкой зараженного ZIP-архива.


Пример цепочки распространения Mekotio

Mekotio - латиноамериканский банковский троян, нацеленный в основном на Бразилию, Чили, Мексику, Испанию, Перу и Португалию. Самая примечательная особенность новейших вариантов этого семейства вредоносных программ - использование базы данных SQL в качестве C&C сервера.
Как и многие другие латиноамериканские банковские трояны, которые мы описывали ранее в этой серии, Mekotio пошла по довольно хаотичному пути развития с очень частыми изменениями его функций. Основываясь на его внутреннем управлении версиями, мы полагаем, что одновременно разрабатывается несколько вариантов. Однако, как и в случае с Casbaneiro , эти варианты практически невозможно отделить друг от друга, поэтому мы будем называть их все Mekotio.
Характеристики
Mekotio - типичный латиноамериканский банковский троян, активный по крайней мере с 2015 года. Таким образом, он атакует, отображая поддельные всплывающие окна своим жертвам, пытаясь побудить их раскрыть конфиденциальную информацию. Эти окна тщательно разработаны для латиноамериканских банков и других финансовых учреждений.
Mekotio собирает следующую информацию о своих жертвах:
- Конфигурация межсетевого экрана
- Есть ли у жертвы административные привилегии
- Версия установленной операционной системы Windows
- Установлены ли продукты защиты от мошенничества (GAS Tecnologia Warsaw и IBM Trusteer [1] )
- Список установленных антивредоносных программ
Mekotio обеспечивает постоянство либо с помощью клавиши «Выполнить», либо путем создания файла LNK в папке автозагрузки.
Как и большинство банковских троянов в Латинской Америке, Mekotio имеет несколько типичных возможностей бэкдора. Он может делать снимки экрана, управлять окнами, имитировать действия мыши и клавиатуры, перезагружать компьютер, ограничивать доступ к различным банковским веб-сайтам и обновляться. Некоторые варианты также могут украсть биткойны, заменив биткойн-кошелек в буфере обмена и извлекая учетные данные, хранящиеся в браузере Google Chrome. Интересно, что одна команда явно предназначена для того, чтобы вывести из строя машину жертвы, пытаясь удалить все файлы и папки в  дереве C: \ Windows .
Один из способов идентифицировать Mekotio - это конкретное окно сообщения, которое троянец отображает несколько раз (см. Рисунок 2).



Рисунок 2. Окно сообщения, используемое всеми вариантами Mekotio (перевод: «В настоящее время мы выполняем обновления безопасности на сайте! Пожалуйста, попробуйте позже! Принимаются новые меры безопасности: (1) новый плагин безопасности и (2) новый внешний вид сайта. Ваша система будет перезапущена для завершения операции. »)

Чтобы упростить кражу паролей с помощью функции кейлоггера, Mekotio отключает опцию «Автозаполнение» в Internet Explorer. Эта функция, если она включена, экономит время пользователей Internet Explorer, запоминая данные, введенные в поля различных типов, которые были заполнены ранее. Mekotio отключает его, изменяя следующие значения реестра Windows:
HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \
AutoSuggest = «Нет»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Главная \
Используйте FormSuggest = «Нет»
FormSuggest Passwords = «Нет»
FormSuggest PW Ask = «Нет»

Хакеры постоянно совершенствуют Mekotio и внедряют новые методы уклонения от обнаружения. Троян может стать причиной серьезных финансовых потерь. Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и использовать комплексные антивирусные решения для защиты от киберугроз.

Материал подготовлен  Eset NOD32