реклама
Несмотря на арест лиц, связанных с распространением банковского троянца Mekotio, вредоносная программа по-прежнему используется в новых атаках. В среду компания Check Point Research (CPR) опубликовала результаты анализа Mekotio, модульного банковского троянца удаленного доступа (RAT), который атакует пользователей в Бразилии, Чили, Мексике, Испании и Перу.
реклама
Правоохранительные органы произвели 16 арестов в связи с распространением троянцев Mekotio и Grandoreiro по всей Испании. Как утверждается, подозреваемые разослали тысячи фишинговых писем для распространения зловреда, которые затем использовались для кражи учетных данных банковских и платежных систем. По сообщениям местных СМИ, было похищено 276 470 евро, но при этом были предприняты не удачные попытки перевода на сумму около 3 500 000 евро.
Исследователи CPR Ари Ольштейн и Абедалла Хадра говорят, что аресты лишь временно помешали распространению вредоносной программы в Испании, а поскольку группа, вероятно, сотрудничала с другими преступными группировками, сейчас она продолжает распространяться. Как только Гражданская гвардия Испании объявила об арестах, разработчики Mekotio, предположительно находящиеся в Бразилии, быстро переработали своего зловреда, добавив в него новые функции, позволяющие избежать обнаружения.
Механизм заражения Mekotio остался прежним: фишинговые электронные письма содержат ссылки на вредоносный архив .ZIP, содержащий исполняемый файл. Однако анализ более 100 атак, совершенных за последние месяцы, выявил использование простого метода маскировки и подмены шифра для обхода обнаружения антивирусными продуктами.
Кроме того, разработчики включили в переделанный пакетный файл с несколькими уровнями маскировки, новый сценарий PowerShell, запускаемый в памяти для выполнения вредоносных действий, и использование Themida - легитимного приложения для предотвращения взлома или обратной разработки - для защиты активных функций зловреда. После установки на уязвимую машину Mekotio попытается получить учетные данные для доступа к банкам и финансовым услугам и передаёт их на управляющий сервер, контролируемый операторами.
"Одной из особенностей таких банковских вирусов, как Mekotio, является модульная архитектура, которая дает злоумышленникам возможность изменить лишь небольшую часть кода, чтобы избежать обнаружения", - говорят исследователи. "CPR видит в новых модификациях много старого кода, используемого в течение длительного времени, и тем не менее, атакам удается не попадать в поле зрения антивирусных средств и EDR-решений за счет изменения упаковщиков или методов маскировки, такого как подстановочный шифр".