•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
Исследования ESET. Хакеры улучшили банковский троян Mekotio.

Исследования ESET. Хакеры улучшили банковский троян Mekotio.

Эксперты ESET выявили новые возможности трояна Mekotio. Ранее удалось узнать, что вредонос похищает у пользователей криптовалюту. На данный момент известно, что Mekotio имеет типичные функции бэкдора: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским сайтам, а также кража учетных данных из Google Chrome и биткоинов. Троян использует C&C-сервер и базы данных SQL.

Рамка верх.png logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:

ESET NOD32 Business Edition 
Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Подробнее>>

ESET NOD32 Smart Security Business Edition 
ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа. Подробнее>>

ESET NOD32 Small Business Pack 
ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат. Подробнее>>
Рамка низ.png

Mekotio может получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра и списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве путем их удаления из дерева C:\Windows.
Вредонос маскируется под обновление, якобы необходимое для обеспечения безопасности устройства. Чаще всего Mekotio прячется в спаме. Цепочка распространения включает несколько этапов и завершается загрузкой зараженного ZIP-архива.

Пример цепочки распространения Mekotio
Пример цепочки распространения Mekotio

Mekotio - латиноамериканский банковский троян, нацеленный в основном на Бразилию, Чили, Мексику, Испанию, Перу и Португалию. Самая примечательная особенность новейших вариантов этого семейства вредоносных программ - использование базы данных SQL в качестве C&C сервера.
Как и многие другие латиноамериканские банковские трояны, которые мы описывали ранее в этой серии, Mekotio пошла по довольно хаотичному пути развития с очень частыми изменениями его функций. Основываясь на его внутреннем управлении версиями, мы полагаем, что одновременно разрабатывается несколько вариантов. Однако, как и в случае с Casbaneiro , эти варианты практически невозможно отделить друг от друга, поэтому мы будем называть их все Mekotio.
Характеристики
Mekotio - типичный латиноамериканский банковский троян, активный по крайней мере с 2015 года. Таким образом, он атакует, отображая поддельные всплывающие окна своим жертвам, пытаясь побудить их раскрыть конфиденциальную информацию. Эти окна тщательно разработаны для латиноамериканских банков и других финансовых учреждений.
Mekotio собирает следующую информацию о своих жертвах:
- Конфигурация межсетевого экрана
- Есть ли у жертвы административные привилегии
- Версия установленной операционной системы Windows
- Установлены ли продукты защиты от мошенничества (GAS Tecnologia Warsaw и IBM Trusteer [1] )
- Список установленных антивредоносных программ
Mekotio обеспечивает постоянство либо с помощью клавиши «Выполнить», либо путем создания файла LNK в папке автозагрузки.
Как и большинство банковских троянов в Латинской Америке, Mekotio имеет несколько типичных возможностей бэкдора. Он может делать снимки экрана, управлять окнами, имитировать действия мыши и клавиатуры, перезагружать компьютер, ограничивать доступ к различным банковским веб-сайтам и обновляться. Некоторые варианты также могут украсть биткойны, заменив биткойн-кошелек в буфере обмена и извлекая учетные данные, хранящиеся в браузере Google Chrome. Интересно, что одна команда явно предназначена для того, чтобы вывести из строя машину жертвы, пытаясь удалить все файлы и папки в  дереве C: \ Windows .
Один из способов идентифицировать Mekotio - это конкретное окно сообщения, которое троянец отображает несколько раз (см. Рисунок 2).

Окно сообщения, используемое всеми вариантами Mekotio

Рисунок 2. Окно сообщения, используемое всеми вариантами Mekotio (перевод: «В настоящее время мы выполняем обновления безопасности на сайте! Пожалуйста, попробуйте позже! Принимаются новые меры безопасности: (1) новый плагин безопасности и (2) новый внешний вид сайта. Ваша система будет перезапущена для завершения операции. »)

Чтобы упростить кражу паролей с помощью функции кейлоггера, Mekotio отключает опцию «Автозаполнение» в Internet Explorer. Эта функция, если она включена, экономит время пользователей Internet Explorer, запоминая данные, введенные в поля различных типов, которые были заполнены ранее. Mekotio отключает его, изменяя следующие значения реестра Windows:
HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \
AutoSuggest = «Нет»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Главная \
Используйте FormSuggest = «Нет»
FormSuggest Passwords = «Нет»
FormSuggest PW Ask = «Нет»

Хакеры постоянно совершенствуют Mekotio и внедряют новые методы уклонения от обнаружения. Троян может стать причиной серьезных финансовых потерь. Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и использовать комплексные антивирусные решения для защиты от киберугроз.
Материал подготовлен  Eset NOD32 

Рамка верх.pnglogo.jpg ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения ESET NOD32 для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Eset Nod32 в Российской Федерации. Перейти на сайт Поставщика>>
Рамка низ.png




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.