Исследования ESET. Хакеры улучшили банковский троян Mekotio.
Эксперты ESET выявили новые возможности трояна Mekotio. Ранее удалось узнать, что вредонос похищает у пользователей криптовалюту. На данный момент известно, что Mekotio имеет типичные функции бэкдора: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским сайтам, а также кража учетных данных из Google Chrome и биткоинов. Троян использует C&C-сервер и базы данных SQL.
Mekotio может получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра и списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве путем их удаления из дерева C:\Windows.
Вредонос маскируется под обновление, якобы необходимое для обеспечения безопасности устройства. Чаще всего Mekotio прячется в спаме. Цепочка распространения включает несколько этапов и завершается загрузкой зараженного ZIP-архива.
Пример цепочки распространения Mekotio
Mekotio - латиноамериканский банковский троян, нацеленный в основном на Бразилию, Чили, Мексику, Испанию, Перу и Португалию. Самая примечательная особенность новейших вариантов этого семейства вредоносных программ - использование базы данных SQL в качестве C&C сервера.
Как и многие другие латиноамериканские банковские трояны, которые мы описывали ранее в этой серии, Mekotio пошла по довольно хаотичному пути развития с очень частыми изменениями его функций. Основываясь на его внутреннем управлении версиями, мы полагаем, что одновременно разрабатывается несколько вариантов. Однако, как и в случае с Casbaneiro , эти варианты практически невозможно отделить друг от друга, поэтому мы будем называть их все Mekotio. Характеристики
Mekotio - типичный латиноамериканский банковский троян, активный по крайней мере с 2015 года. Таким образом, он атакует, отображая поддельные всплывающие окна своим жертвам, пытаясь побудить их раскрыть конфиденциальную информацию. Эти окна тщательно разработаны для латиноамериканских банков и других финансовых учреждений. Mekotio собирает следующую информацию о своих жертвах:
- Конфигурация межсетевого экрана
- Есть ли у жертвы административные привилегии
- Версия установленной операционной системы Windows
- Установлены ли продукты защиты от мошенничества (GAS Tecnologia Warsaw и IBM Trusteer [1] )
- Список установленных антивредоносных программ
Mekotio обеспечивает постоянство либо с помощью клавиши «Выполнить», либо путем создания файла LNK в папке автозагрузки.
Как и большинство банковских троянов в Латинской Америке, Mekotio имеет несколько типичных возможностей бэкдора. Он может делать снимки экрана, управлять окнами, имитировать действия мыши и клавиатуры, перезагружать компьютер, ограничивать доступ к различным банковским веб-сайтам и обновляться. Некоторые варианты также могут украсть биткойны, заменив биткойн-кошелек в буфере обмена и извлекая учетные данные, хранящиеся в браузере Google Chrome. Интересно, что одна команда явно предназначена для того, чтобы вывести из строя машину жертвы, пытаясь удалить все файлы и папки в дереве C: \ Windows .
Один из способов идентифицировать Mekotio - это конкретное окно сообщения, которое троянец отображает несколько раз (см. Рисунок 2).
Рисунок 2. Окно сообщения, используемое всеми вариантами Mekotio (перевод: «В настоящее время мы выполняем обновления безопасности на сайте! Пожалуйста, попробуйте позже! Принимаются новые меры безопасности: (1) новый плагин безопасности и (2) новый внешний вид сайта. Ваша система будет перезапущена для завершения операции. »)
Чтобы упростить кражу паролей с помощью функции кейлоггера, Mekotio отключает опцию «Автозаполнение» в Internet Explorer. Эта функция, если она включена, экономит время пользователей Internet Explorer, запоминая данные, введенные в поля различных типов, которые были заполнены ранее. Mekotio отключает его, изменяя следующие значения реестра Windows:
HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \
AutoSuggest = «Нет»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Главная \
Используйте FormSuggest = «Нет»
FormSuggest Passwords = «Нет»
FormSuggest PW Ask = «Нет»
Хакеры постоянно совершенствуют Mekotio и внедряют новые методы уклонения от обнаружения. Троян может стать причиной серьезных финансовых потерь. Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и использовать комплексные антивирусные решения для защиты от киберугроз.
В конце июня 2025 года в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке
В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров.
Более половины российских компаний сегмента МСП планируют увеличить траты на информационную безопасность в 2025 году, однако большинство готовы укреплять защиту лишь в ответ на внешнее давление. Так, 74% компаний заявляют, что готовы действовать только в случае введения новых требований регулятора — такие данные представлены во второй части исследования ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»
Современные ИТ-инфраструктуры активно внедряют контейнерные технологии, и Docker остается одним из самых популярных решений. Контейнеры обеспечивают легковесную изоляцию, быстрое развертывание приложений и гибкость масштабирования, что ускоряет процессы разработки и доставки ПО
Ваши контактные данные не публикуются на сайте.