Em julho deste ano, as autoridades espanholas prenderam 16 suspeitos sob acusação de branqueamento de fundos roubados através da trojan bancário Mekotio, entre outros. As recentes observações da CPR revelam que os agentes maliciosos por detrás do Mekotio continuam ativos, distribuindo uma nova versão do Mekotio com novas e melhoradas capacidades de dissimulação e evasão.
De acordo com os ciberataques detetados pela Check Point Research, os países alvos do Mekotio incluem o Brasil, Chile, México, Peru e Península Ibérica.
Como se processam os ataques do novo Mekotio
A infeção começa e é distribuída com um e-mail de phishing, escrito em espanhol, contendo um link para um arquivo zip ou um ficheiro zip como anexo. A mensagem incita a vítima a descarregar e extrair o conteúdo do zip. As mensagens de correio eletrónico identificadas pela CPR alegavam uma suposta "submissão pendente de recibo de imposto digital". Quando as vítimas clicam no link do e-mail, um arquivo zip malicioso é descarregado.
Fig. 1 E-mail de phishing
Fig. 2 A CPR descreveu a cadeia de ataque da seguinte forma
Novas técnicas de roubo e evasão
Uma das características chave do Mekotio é a sua conceção modular, que dá aos atacantes a capacidade de mudar uma pequena parte do todo e, assim, evitar a deteção. Além disso, o Mekotio utiliza um método de encriptação antigo chamado "cifra de substituição" para ofuscar o conteúdo do ficheiro e esconder o primeiro módulo de ataque. Esta técnica simples de ofuscação permite que passe despercebido pela maioria dos AntiVirus. Além disso, os agentes maliciosos da Mekotio utilizam uma nova versão de uma ferramenta comercial chamada "Themida", que envolve o payload com encriptação sofisticada, anti debug, e anti monitorização.
Kobi Eisenkraft, Malware Research & Protection Team Leader da Check Point Software afirma que "Embora a Guarda Civil espanhola tenha anunciado a detenção de 16 pessoas envolvidas na distribuição de Mekotio em Julho de 2021, parece que o bando por detrás do malware ainda está ativo. É claro para nós que eles desenvolveram e distribuíram uma nova versão do banker Mekotio que tem capacidades furtivas e técnicas de evasão muito mais eficazes. Existe um perigo muito real de que o banker Mekotio roube nomes de utilizador e palavras-passe, a fim de obter a entrada em instituições financeiras. Além disso, as detenções pararam a atividade dos bandos espanhóis, mas não os principais grupos de cibercrime por detrás do Mekotio. Sabemos algumas coisas sobre os agentes maliciosos por detrás do Mekotio, que opera a partir do Brasil e colabora com os gangues europeus para distribuir o malware:
- Gostam de utilizar uma infraestrutura de entrega em várias fases, para não serem detetados
- Utilizam principalmente e-mails de phishing como o primeiro vetor de infeção
- Utilizam os ambientes cloud da Microsoft e da Amazon para alojar os ficheiros maliciosos
Recomenda-se vivamente as pessoas nas regiões alvo conhecidas do Mekotio a usarem autenticação de dois fatores sempre que esta estiver disponível e a terem cuidado com domínios semelhantes, erros ortográficos em emails ou websites, e remetentes de emails desconhecidos".
Como manter-se protegido
-
Esteja atento a domínios semelhantes, erros ortográficos em e-mails ou websites e remetentes desconhecidos
-
Seja cuidadoso com ficheiros recebidos via e-mail provindos de endereços de e-mail que não conhece, especialmente se incitarem à realização de alguma ação suspeita
-
Certifique-se que encomenda bens de fontes seguras. Para tal, não clique em links promocionais em e-mails. Em vez disso, faça a pesquisa orgânica no Google
-
Cuidado com ofertas especiais e oportunidades de compra que parecem demasiado boas para serem verdade
-
Não reutilize palavras-passe entre diferentes contas e plataformas