Правоохранительные органы отрубили хвост, а не голову киберпреступной организации. Аресты сделаны, но троянец Mekotio продолжает жить
анонсы и реклама

Несмотря на арест лиц, связанных с распространением банковского троянца Mekotio, вредоносная программа по-прежнему используется в новых атаках. В среду компания Check Point Research (CPR) опубликовала результаты анализа Mekotio, модульного банковского троянца удаленного доступа (RAT), который атакует пользователей в Бразилии, Чили, Мексике, Испании и Перу. 

реклама


_

 


Правоохранительные органы произвели 16 арестов в связи с распространением троянцев Mekotio и Grandoreiro по всей Испании. Как утверждается, подозреваемые разослали тысячи фишинговых писем для распространения зловреда, которые затем использовались для кражи учетных данных банковских и платежных систем. По сообщениям местных СМИ, было похищено 276 470 евро, но при этом были предприняты не удачные попытки перевода  на сумму около 3 500 000 евро. 

Исследователи CPR Ари Ольштейн и Абедалла Хадра говорят, что аресты лишь временно помешали распространению вредоносной программы в Испании, а поскольку группа, вероятно, сотрудничала с другими преступными группировками, сейчас она продолжает распространяться.  Как только Гражданская гвардия Испании объявила об арестах, разработчики Mekotio, предположительно находящиеся в Бразилии, быстро переработали своего зловреда, добавив в него новые функции, позволяющие избежать обнаружения. 

Механизм заражения Mekotio остался прежним: фишинговые электронные письма содержат ссылки на вредоносный архив .ZIP, содержащий исполняемый файл. Однако анализ более 100 атак, совершенных за последние месяцы, выявил использование простого метода маскировки и подмены шифра для обхода обнаружения антивирусными продуктами. 

Кроме того, разработчики включили в переделанный пакетный файл с несколькими уровнями маскировки, новый сценарий PowerShell, запускаемый в памяти для выполнения вредоносных действий, и использование Themida - легитимного приложения для предотвращения взлома или обратной разработки - для защиты активных функций зловреда. После установки на уязвимую машину Mekotio попытается получить учетные данные для доступа к банкам и финансовым услугам и передаёт их на  управляющий сервер, контролируемый операторами. 

"Одной из особенностей таких банковских вирусов, как Mekotio, является модульная архитектура, которая дает злоумышленникам возможность изменить лишь небольшую часть кода, чтобы избежать обнаружения", - говорят исследователи. "CPR видит в новых модификациях много старого кода, используемого в течение длительного времени, и тем не менее, атакам удается не попадать в поле зрения антивирусных средств и EDR-решений за счет изменения упаковщиков или методов маскировки, такого как подстановочный шифр".

анонсы и реклама


За пост начислено вознаграждение
Этот материал написан посетителем сайта, и за него начислено вознаграждение.
+
Написать комментарий (0)

Популярные новости

Сейчас обсуждают