Instituições financeiras em toda a América Latina estão enfrentando ameaças de um trojan bancário conhecido como Mekotio (também conhecido como Melcoz).
Descobertas recentes da Trend Micro destacam um aumento nos ataques cibernéticos envolvendo malware baseado no Windows.
Ativo desde 2015, o Mekotio tem como alvo países como Brasil, Chile, México, Espanha, Peru e Portugal, com o objetivo de roubar credenciais bancárias.
Documentado pela primeira vez pela ESET em agosto de 2020, ele pertence a um grupo de trojans bancários que inclui Guildma, Javali e Grandoreiro — este último foi desmantelado pelas autoridades policiais no início deste ano.
“O Mekotio exibe características comuns desse tipo de malware, incluindo ser escrito em Delphi, usar janelas pop-up falsas, ter funcionalidade de backdoor e ter como alvo países de língua espanhola e portuguesa”, afirmou a empresa de segurança cibernética eslovaca.
A operação sofreu um revés em julho de 2021, quando as autoridades espanholas prenderam 16 indivíduos ligados a uma rede criminosa responsável por campanhas de engenharia social direcionadas a usuários europeus com o Grandoreiro e o Mekotio.
Esses ataques geralmente usam e-mails de phishing com tema tributário para atrair destinatários a abrir anexos maliciosos ou clicar em links falsos, levando à implantação de um arquivo instalador MSI. Esse arquivo então utiliza um script AutoHotKey (AHK) para executar o malware.
É notável que o método de infecção mostre uma ligeira variação do processo detalhado anteriormente pela Check Point em novembro de 2021, que envolvia um script em lote ofuscado executando um script do PowerShell para baixar um arquivo ZIP de segundo estágio contendo o script AHK.
Depois que o Mekotio é instalado, ele coleta informações do sistema e entra em contato com um servidor de comando e controle (C2) para obter mais instruções.
Seu objetivo principal é roubar credenciais bancárias exibindo pop-ups falsos que imitam sites bancários legítimos. Além disso, ele pode capturar capturas de tela, registrar pressionamentos de tecla, roubar dados da área de transferência e estabelecer persistência no host por meio de tarefas agendadas.
Os dados roubados permitem que os agentes de ameaças obtenham acesso não autorizado às contas bancárias dos usuários e realizem transações fraudulentas.
“O trojan bancário Mekotio é uma ameaça persistente e em evolução aos sistemas financeiros, especialmente em países da América Latina”, disse a Trend Micro. “Ele usa e-mails de phishing para se infiltrar em sistemas com a intenção de roubar informações confidenciais, mantendo uma forte presença em máquinas comprometidas.”
Este desenvolvimento ocorre enquanto a empresa mexicana de segurança cibernética Scitum revelou detalhes de um novo trojan bancário latino-americano chamado Red Mongoose Daemon. Semelhante ao Mekotio, ele usa droppers MSI distribuídos por e-mails de phishing se passando por faturas e notas fiscais.
“O principal objetivo do Red Mongoose Daemon é roubar informações bancárias das vítimas falsificando transações PIX por meio de janelas sobrepostas”, afirmou a empresa. “Este trojan tem como alvo usuários finais brasileiros e funcionários de organizações com informações bancárias.”
“O Red Mongoose Daemon pode manipular e criar janelas, executar comandos, controlar computadores remotamente, manipular navegadores da web, sequestrar áreas de transferência e personificar carteiras de Bitcoin substituindo endereços de carteira copiados por aqueles usados por criminosos cibernéticos.”
Fonte: TheHackerNews