Mekotio banktrojaan vervalst beveiligingsupdates, steelt bitcoins en exfiltreert Google-inloggegevens. Een onderzoek van ESET
Mekotio is al minstens actief sinds 2015 en, net als bij andere banktrojans door ESET onderzocht, deelt het gemeenschappelijke kenmerken voor deze soort malware. Het is geschreven in Delphi, gebruikt valse pop-upvensters en het bevat backdoor-functionaliteiten. Om er minder verdacht uit te zien, tracht Mekotio zich voor te doen als een beveiligingsupdate die een specifiek message box gebruikt.
Mekotio kan toegang hebben tot heel wat technische details van zijn slachtoffers, zoals informatie over de firewallconfiguratie, beheerdersrechten, de Windows OS-versie en een lijst met reeds geïnstalleerde antifraudeproducten en antimalware-oplossingen. Eén commando poogt zelfs de machine van het slachtoffer buiten spel te zetten door te proberen alle bestanden en mappen uit de C: \ Windows-structuur te verwijderen.
“Het meest opvallende kenmerk van de nieuwste varianten van deze malwarefamilie is voor onderzoekers het gebruik van een SQL-database als C & C-server en hoe deze de legitieme AutoIt-interpreter misbruikt als primaire uitvoeringsmethode”, verduidelijkt Robert Šuman, de ESET-onderzoeker die het Mekotio-team leidt.
De malware wordt voornamelijk verspreid via spam. Sinds 2018 hebben ESET-onderzoekers 38 verschillende distributieketens waargenomen die door deze malwarefamilie gebruikt worden. Het merendeel van die ketens werken in verschillende fasen en eindigen met het downloaden van een ZIP-archief, een courant gedrag bij Latijns-Amerikaanse banktrojanen.
“Mekotio volgde een eerder chaotisch ontwikkelingstraject, waarbij zijn functies vaak gewijzigd werden. Gebaseerd op zijn interne versiebeheer, is ESET van mening dat er meerdere varianten tegelijkertijd werden ontwikkeld, ”voegt Šuman hieraan toe.
Voor meer technische details over Mekotio, lees de blogpost “Mekotio: These aren’t the security updates you’re looking for…”op www.WeLiveSecurity.com
Landen getroffen door Mekotio
Volg zeker ESET Research on Twitter voor de nieuwste info over ESET Research.
Bezoek voor meer informatie over het aanbod van ESET https://www.eset.com/be-nl/