Uma vez infetado o computador, o Mekotio executa diversas atividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas afetadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome.
O Mekotio tem estado ativo desde pelo menos 2015 e, tal como outros troianos bancários investigados pela ESET, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de “backdoor”. De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma atualização de software usando uma mensagem numa janela específica.
Há muito detalhes técnicos que o Mekotio é capaz de recolher das suas vítimas, incluindo informação sobre a configuração do firewall do computador, privilégios de administração, qual a versão do Windows da máquina infetada, e uma lista de produtos anti-fraude e antimalware eventualmente instalados. Um dos comandos usados pelo malware é capaz de desativar a máquina da vítima ao tentar remover todos os ficheiros e pastas do diretório C:\Windows.
“Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQL database como um servidor C&C [“comand & control”] e a forma como é capaz de abusardo interpretador AutoIt legítimo como o seu método primário de execução,” explica Robert Šuman, o investigador da ESET que liderou a equipa que analisou o Mekotio.
Este malware é predominantemente distribuído através de spam. Desde 2018, os investigadores da ESET observaram um total de 38 cadeias de distribuição diferentes usadas por esta família de malware. A maioria destas cadeias consiste em vários estágios e terminam com o download de um ficheiro ZIP – um comportamento típico dos troianos bancários que circulam no espaço latino-americano.
“O Mekotio segui um caminho de desenvolvimento de alguma forma caótico, com as suas funcionalidades a serem alteradas frequentemente. Com base nos dados internos relativos às suas versões, a ESET acredita que existem múltiplas variantes que foram desenvolvidas em simultâneo”, concluiu Šuman.
Para mais detalhes técnicos sobre o Mekotio, leia o artigo “Mekotio: These aren’t the security updates you’re looking for…” no blog WeLiveSecurity, da ESET.