Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нових подробиць щодо активності банківського трояна Mekotio. Зокрема, спеціалісти ESET виявили, що троян має типові для бекдора функції — створення скріншотів, перезапуск інфікованих пристроїв, обмеження доступу до легітимних банківських веб-сайтів, а іноді й викрадення облікових даних з Google Chrome та біткоїнів. Загроза націлена на іспано- та португаломовні країни Європи і Латинської Америки.
Mekotio працює з принаймні 2015 року та як і інші банківські трояни, має типові для цього типу шкідливого програмного забезпечення характеристики: написаний мовою програмування Delphi, використовує підроблені спливаючі вікна та має функціонал бекдора. Щоб банківський троян виглядав менш підозріло, розробники намагались видати його за оновлення безпеки за допомогою певного вікна з повідомленням.
Шкідливе програмне забезпечення Mekotio може отримати доступ до багатьох технічних подробиць про пристрої жертв, включно з інформацією про конфігурацію брандмауера, права адміністратора, версію ОС Windows, а також список встановлених антивірусних рішень та продуктів для протидії шахрайству. Одна з команд Mekotio навіть намагається зламати пристрій жертви шляхом видалення всіх файлів та папок з дерева C:\Windows.
«Для дослідників найбільш помітною особливістю нових варіантів цього сімейства шкідливих програм є використання бази даних SQL як командного сервера (C&C). Крім цього, незвичним є те, що сімейство зловживає легітимним інтерпретатором AutoIt як основним методом виконання», — пояснює Роберт Шуман, дослідник ESET.
Розповсюджується банківський троян переважно через спам. Починаючи з 2018 року, дослідники ESET виявили 38 різних ланцюгів поширення, якими користується це сімейство шкідливих програм. Більшість ланцюгів складаються з декількох етапів та закінчуються завантаженням ZIP-архіву — така поведінка є типовою для латиноамериканських банківських троянів.
«Mekotio розвивається досить хаотично, його особливості дуже часто змінюються. На основі своїх внутрішних досліджень ми зробили висновок, що існує декілька варіантів загрози, які розробляються одночасно», — додає Роберт Шуман.
Більш детальна інформація про Mekotio доступна за посиланням.