Исследования ESET. Хакеры улучшили банковский троян Mekotio.

Эксперты ESET выявили новые возможности трояна Mekotio. Ранее удалось узнать, что вредонос похищает у пользователей криптовалюту. На данный момент известно, что Mekotio имеет типичные функции бэкдора: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским сайтам, а также кража учетных данных из Google Chrome и биткоинов. Троян использует C&C-сервер и базы данных SQL.

  РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:

ESET NOD32 Business Edition 
Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Подробнее>>

ESET NOD32 Smart Security Business Edition 
ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа. Подробнее>>

ESET NOD32 Small Business Pack 
ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат. Подробнее>>
Mekotio может получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра и списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве путем их удаления из дерева C:\Windows.
Вредонос маскируется под обновление, якобы необходимое для обеспечения безопасности устройства. Чаще всего Mekotio прячется в спаме. Цепочка распространения включает несколько этапов и завершается загрузкой зараженного ZIP-архива.


Пример цепочки распространения Mekotio

Mekotio - латиноамериканский банковский троян, нацеленный в основном на Бразилию, Чили, Мексику, Испанию, Перу и Португалию. Самая примечательная особенность новейших вариантов этого семейства вредоносных программ - использование базы данных SQL в качестве C&C сервера.
Как и многие другие латиноамериканские банковские трояны, которые мы описывали ранее в этой серии, Mekotio пошла по довольно хаотичному пути развития с очень частыми изменениями его функций. Основываясь на его внутреннем управлении версиями, мы полагаем, что одновременно разрабатывается несколько вариантов. Однако, как и в случае с Casbaneiro , эти варианты практически невозможно отделить друг от друга, поэтому мы будем называть их все Mekotio.
Характеристики
Mekotio - типичный латиноамериканский банковский троян, активный по крайней мере с 2015 года. Таким образом, он атакует, отображая поддельные всплывающие окна своим жертвам, пытаясь побудить их раскрыть конфиденциальную информацию. Эти окна тщательно разработаны для латиноамериканских банков и других финансовых учреждений.
Mekotio собирает следующую информацию о своих жертвах:
- Конфигурация межсетевого экрана
- Есть ли у жертвы административные привилегии
- Версия установленной операционной системы Windows
- Установлены ли продукты защиты от мошенничества (GAS Tecnologia Warsaw и IBM Trusteer [1] )
- Список установленных антивредоносных программ
Mekotio обеспечивает постоянство либо с помощью клавиши «Выполнить», либо путем создания файла LNK в папке автозагрузки.
Как и большинство банковских троянов в Латинской Америке, Mekotio имеет несколько типичных возможностей бэкдора. Он может делать снимки экрана, управлять окнами, имитировать действия мыши и клавиатуры, перезагружать компьютер, ограничивать доступ к различным банковским веб-сайтам и обновляться. Некоторые варианты также могут украсть биткойны, заменив биткойн-кошелек в буфере обмена и извлекая учетные данные, хранящиеся в браузере Google Chrome. Интересно, что одна команда явно предназначена для того, чтобы вывести из строя машину жертвы, пытаясь удалить все файлы и папки в  дереве C: \ Windows .
Один из способов идентифицировать Mekotio - это конкретное окно сообщения, которое троянец отображает несколько раз (см. Рисунок 2).



Рисунок 2. Окно сообщения, используемое всеми вариантами Mekotio (перевод: «В настоящее время мы выполняем обновления безопасности на сайте! Пожалуйста, попробуйте позже! Принимаются новые меры безопасности: (1) новый плагин безопасности и (2) новый внешний вид сайта. Ваша система будет перезапущена для завершения операции. »)

Чтобы упростить кражу паролей с помощью функции кейлоггера, Mekotio отключает опцию «Автозаполнение» в Internet Explorer. Эта функция, если она включена, экономит время пользователей Internet Explorer, запоминая данные, введенные в поля различных типов, которые были заполнены ранее. Mekotio отключает его, изменяя следующие значения реестра Windows:
HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \
AutoSuggest = «Нет»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Главная \
Используйте FormSuggest = «Нет»
FormSuggest Passwords = «Нет»
FormSuggest PW Ask = «Нет»

Хакеры постоянно совершенствуют Mekotio и внедряют новые методы уклонения от обнаружения. Троян может стать причиной серьезных финансовых потерь. Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и использовать комплексные антивирусные решения для защиты от киберугроз.

Материал подготовлен  Eset NOD32 

 ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения ESET NOD32 для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Eset Nod32 в Российской Федерации. Перейти на сайт Поставщика>>