Analysis

Portugal é um dos países afetados por novo trojan bancário

O trojan Mekotio simula uma atualização de segurança e é capaz de roubar bitcoins e credenciais de acesso dos utilizadores afetados

17/08/2020

Portugal é um dos países afetados por novo trojan bancário

Os investigadores da Eset têm estado atentos a um malware do tipo trojan especificamente criado para atacar aplicações bancárias em língua Portuguesa e Espanhola. Batizado de Mekotio, este malware afeta sobretudo países latinos como o Brasil, Chile, México, Espanha, Peru e Portugal.

Uma vez infetado o computador, o Mekotio executa diversas atividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas afetadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome.

O Mekotio tem estado ativo desde pelo menos 2015 e, tal como outros trojans bancários investigados pela Eset, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de backdoor. De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma atualização de software usando uma mensagem numa janela específica.

Há muito detalhes técnicos que o Mekotio é capaz de recolher das suas vítimas, incluindo informação sobre a configuração do firewall do computador, privilégios de administração, qual a versão do Windows da máquina infetada, e uma lista de produtos antifraude e antimalware eventualmente instalados. Um dos comandos usados pelo malware é capaz de desativar a máquina da vítima ao tentar remover todos os ficheiros e pastas do diretório C:\Windows.

"Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQL como um servidor C&C [comand & control] e a forma como é capaz de abusar do interpretador AutoIt legítimo como o seu método primário de execução", explica Robert Šuman, o investigador da Eset que liderou a equipa que analisou o Mekotio.

Este malware é predominantemente distribuído através de spam. Desde 2018, os investigadores da Eset observaram um total de 38 cadeias de distribuição diferentes usadas por esta família de malware. A maioria destas cadeias consiste em vários estágios e terminam com o download de um ficheiro ZIP – um comportamento típico dos trojans bancários que circulam no espaço latino-americano.

"O Mekotio seguiu um caminho de desenvolvimento de alguma forma caótico, com as suas funcionalidades a serem alteradas frequentemente. Com base nos dados internos relativos às suas versões, a Eset acredita que existem múltiplas variantes que foram desenvolvidas em simultâneo", concluiu Šuman.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.