Trojan bancário detetado em mais de cem ataques à Península Ibérica e América Latina

A Check Point Research (CPR) anuncia que detetou e bloqueou mais de cem ciberataques que tinham como alvo países da América Latina e da Península Ibérica. O ataque envolvia a versão evoluída de um trojan bancário chamado Mekotio, alegadamente da autoria de grupos brasileiros que alugam a outros grupos o acesso às suas ferramentas de ataque, responsáveis pela distribuição do trojan e pela lavagem dos fundos. 

Desenvolvido para computadores Windows, o Mekotio é conhecido por utilizar e-mails falsificados que imitam organizações legítimas. Depois de uma vítima ser infetada, o trojan bancário permanece escondido, à espera que os utilizadores entrem nas contas bancárias eletrónicas, recolhendo silenciosamente as suas credenciais, explica a empresa em comunicado enviado à redação.

Em julho deste ano, as autoridades espanholas prenderam 16 suspeitos sob acusação de branqueamento de fundos roubados através do trojan bancário Mekotio, entre outros. As recentes observações da CPR revelam que os agentes maliciosos por detrás do Mekotio continuam ativos, distribuindo uma nova versão do Mekotio com novas e melhoradas capacidades de dissimulação e evasão. Os dados indicam que os países alvos do Mekotio incluem o Brasil, Chile, México, Peru e a Península Ibérica.

"Embora a Guarda Civil espanhola tenha anunciado a detenção de 16 pessoas envolvidas na distribuição de Mekotio em Julho de 2021, parece que o bando por detrás do malware ainda está ativo. É claro para nós que eles desenvolveram e distribuíram uma nova versão do banker Mekotio que tem capacidades furtivas e técnicas de evasão muito mais eficazes. Existe um perigo muito real de que o banker Mekotio roube nomes de utilizador e palavras-passe, a fim de obter a entrada em instituições financeiras. Além disso, as detenções pararam a atividade dos bandos espanhóis, mas não os principais grupos de cibercrime por detrás do Mekotio”, afirma Kobi Eisenkraft, Malware Research & Protection Team Leader da Check Point Software.

O ataque começa a ser distribuído com um e-mail de phishing, em espanhol, contendo um link para um arquivo zip ou um ficheiro zip como anexo, com uma mensagem que incita a vítima a descarregar e extrair o conteúdo do zip. As mensagens de correio eletrónico identificadas pela CPR alegavam uma suposta "submissão pendente de recibo de imposto digital". Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é descarregado.

Uma das características chave do trojan é a sua conceção modular, que dá aos atacantes a capacidade de mudar uma pequena parte do todo e, assim, evitar a deteção. Além disso, o Mekotio utiliza um método de encriptação antigo chamado "cifra de substituição" para ofuscar o conteúdo do ficheiro e esconder o primeiro módulo de ataque, técnica que permite que passe despercebido pela maioria dos antivírus. Além disso, os agentes da Mekotio utilizam uma nova versão de uma ferramenta comercial chamada "Themida", que envolve o payload com encriptação sofisticada, anti debug, e anti monitorização.

Kobi Eisenkraft continua: “sabemos algumas coisas sobre os agentes maliciosos por detrás do Mekotio, que opera a partir do Brasil e colabora com os gangues europeus para distribuir o malware. Gostam de utilizar uma infraestrutura de entrega em várias fases, para não serem detetados; utilizam principalmente e-mails de phishing como o primeiro vetor de infeção; e utilizam os ambientes cloud da Microsoft e da Amazon para alojar os ficheiros maliciosos”.

Por fim, o Malware Research & Protection Team Leader da Check Point Software recomenda “vivamente as pessoas nas regiões alvo conhecidas do Mekotio a usarem autenticação de dois fatores sempre que esta estiver disponível e a terem cuidado com domínios semelhantes, erros ortográficos em emails ou websites, e remetentes de emails desconhecidos".