O cavalo de Troia bancário Mekotio retorna por meio de grupos de cibercriminosos do Brasil

O Mekotio, um cavalo de Troia bancário modular destinado aos países da América Latina e originário do Brasil, reapareceu recentemente com um novo fluxo de infecção. A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas implicadas na distribuição do Mekotio em julho de 2021.

O Brasil, Chile, México, a Espanha e o Peru têm sido historicamente os alvos do Mekotio, incluindo os recentes ciberataques detectados pela CPR. Os pesquisadores assumem que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com grupos espanhóis para distribuir malware. A prisão interrompeu a atividade dos grupos da Espanha, porém isso não ocorreu com os principais grupos cibercriminosos.

Acredita-se que a família de malware Mekotio seja o trabalho de grupos cibercriminosos brasileiros que alugam o acesso às suas ferramentas para outros grupos responsáveis pela distribuição do cavalo de Troia e lavagem de dinheiro.

Desenvolvido para computadores Windows, o Mekotio é conhecido por usar e-mails falsos, imitando organizações legítimas. Depois que uma vítima é infectada, o cavalo de Troia bancário permanece oculto, esperando até que os usuários façam login em contas de e-banking, coletando suas credenciais silenciosamente.

Como funciona a nova versão do Mekotio
A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo compactado como anexo. A mensagem estimula a vítima a baixar e extrair esse conteúdo. Os e-mails capturados pelos pesquisadores exigem da vítima um “recibo fiscal digital pendente de envio”.

Quando as vítimas clicam no link, um arquivo zip fraudulento é baixado de um site malicioso. O novo vetor de infecção de Mekotio contém estes novos elementos:

Um arquivo de lote mais oculto com pelo menos duas camadas de disfarce.
Um novo script PowerShell sem arquivo que é executado diretamente na memória.
Uso de Themida v3 para empacotar a carga útil final da DLL.

Nos últimos três meses (agosto, setembro e outubro de 2021), aproximadamente 100 ataques foram vistos usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro módulo do ataque. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria dos softwares de proteção.

E-mail de phishing
A infecção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um arquivo zip como anexo. A mensagem atrai a vítima para baixar e extrair o conteúdo zip. Os e-mails capturados pela Check Point Research (CPR) informam a uma vítima que um “recibo fiscal digital está pendente de envio”. Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é baixado de um site malicioso.

Novas habilidades ocultas e técnicas de evasão
Uma das principais características do Mekotio é seu design modular, dando aos atacantes a capacidade de alterar apenas uma pequena parte do todo para evitar a detecção. Além disso, o Mekotio usa um método de criptografia antigo chamado “cifra de substituição” para ofuscar o conteúdo do arquivo e ocultar o primeiro módulo de ataque. Essa técnica simples para ocultar permite que ele não seja detectado pela maioria dos produtos antivírus e de proteção.

Além disso, os atacantes de Mekotio usam uma nova versão de uma ferramenta comercial chamada “Themida”, que empacota a carga útil com criptografia sofisticada, antidepuração e antimonitoramento.

“Embora a Guarda Civil espanhola tenha anunciado a prisão de 16 pessoas envolvidas com a distribuição do Mekotio em julho de 2021, parece que o grupo por trás do malware ainda está ativo. Está claro para nós que eles desenvolveram e distribuíram uma nova versão do cavalo de Troia bancário Mekotio que tem habilidades ocultas e técnicas de evasão muito mais eficazes. Há um perigo muito real de o Mekotio roubar nomes de usuário e senhas, a fim de obter acesso a instituições financeiras”, afirma Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software Technologies.

Segundo Eisenkraft, consequentemente, as prisões interromperam a atividade dos grupos da Espanha, mas não dos principais grupos de cibercrimes por trás de Mekotio. Ele aponta algumas ações dos atacantes por trás de Mekotio, que operam no Brasil e colaboram com grupos europeus para distribuir o malware:

Eles gostam de usar uma infraestrutura de distribuição de vários estágios para evitar a detecção.
Eles usam principalmente e-mails de phishing como o primeiro vetor de infecção.
Eles utilizam ambientes de Nuvem da Microsoft e Amazon para hospedar os arquivos maliciosos.

“Nós recomendamos fortemente que as pessoas nas regiões-alvo conhecidas do Mekotio usem a autenticação de dois fatores sempre que estiver disponível e tomem cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos”, alerta Kobi Eisenkraft.

Como as pessoas devem se manter protegidas

Ter cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.
Ter atenção com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que o usuário normalmente não faria.
Certificar-se de solicitar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, pesquisar no Google ou em outro mecanismo de busca, a loja ou o estabelecimento desejado e clicar no link da página de resultados do buscador.
Ter cuidado com as ofertas “especiais” que não parecem ser oportunidades de compra confiáveis.
Certificar-se de não reutilizar senhas entre diferentes aplicativos e contas.

Crédito: Imagem de kalhh por Pixabay.