Исследования ESET. Хакеры улучшили банковский троян Mekotio.
Эксперты ESET выявили новые возможности трояна Mekotio. Ранее удалось узнать, что вредонос похищает у пользователей криптовалюту. На данный момент известно, что Mekotio имеет типичные функции бэкдора: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским сайтам, а также кража учетных данных из Google Chrome и биткоинов. Троян использует C&C-сервер и базы данных SQL.
Mekotio может получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра и списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве путем их удаления из дерева C:\Windows.
Вредонос маскируется под обновление, якобы необходимое для обеспечения безопасности устройства. Чаще всего Mekotio прячется в спаме. Цепочка распространения включает несколько этапов и завершается загрузкой зараженного ZIP-архива.
Пример цепочки распространения Mekotio
Mekotio - латиноамериканский банковский троян, нацеленный в основном на Бразилию, Чили, Мексику, Испанию, Перу и Португалию. Самая примечательная особенность новейших вариантов этого семейства вредоносных программ - использование базы данных SQL в качестве C&C сервера.
Как и многие другие латиноамериканские банковские трояны, которые мы описывали ранее в этой серии, Mekotio пошла по довольно хаотичному пути развития с очень частыми изменениями его функций. Основываясь на его внутреннем управлении версиями, мы полагаем, что одновременно разрабатывается несколько вариантов. Однако, как и в случае с Casbaneiro , эти варианты практически невозможно отделить друг от друга, поэтому мы будем называть их все Mekotio. Характеристики
Mekotio - типичный латиноамериканский банковский троян, активный по крайней мере с 2015 года. Таким образом, он атакует, отображая поддельные всплывающие окна своим жертвам, пытаясь побудить их раскрыть конфиденциальную информацию. Эти окна тщательно разработаны для латиноамериканских банков и других финансовых учреждений. Mekotio собирает следующую информацию о своих жертвах:
- Конфигурация межсетевого экрана
- Есть ли у жертвы административные привилегии
- Версия установленной операционной системы Windows
- Установлены ли продукты защиты от мошенничества (GAS Tecnologia Warsaw и IBM Trusteer [1] )
- Список установленных антивредоносных программ
Mekotio обеспечивает постоянство либо с помощью клавиши «Выполнить», либо путем создания файла LNK в папке автозагрузки.
Как и большинство банковских троянов в Латинской Америке, Mekotio имеет несколько типичных возможностей бэкдора. Он может делать снимки экрана, управлять окнами, имитировать действия мыши и клавиатуры, перезагружать компьютер, ограничивать доступ к различным банковским веб-сайтам и обновляться. Некоторые варианты также могут украсть биткойны, заменив биткойн-кошелек в буфере обмена и извлекая учетные данные, хранящиеся в браузере Google Chrome. Интересно, что одна команда явно предназначена для того, чтобы вывести из строя машину жертвы, пытаясь удалить все файлы и папки в дереве C: \ Windows .
Один из способов идентифицировать Mekotio - это конкретное окно сообщения, которое троянец отображает несколько раз (см. Рисунок 2).
Рисунок 2. Окно сообщения, используемое всеми вариантами Mekotio (перевод: «В настоящее время мы выполняем обновления безопасности на сайте! Пожалуйста, попробуйте позже! Принимаются новые меры безопасности: (1) новый плагин безопасности и (2) новый внешний вид сайта. Ваша система будет перезапущена для завершения операции. »)
Чтобы упростить кражу паролей с помощью функции кейлоггера, Mekotio отключает опцию «Автозаполнение» в Internet Explorer. Эта функция, если она включена, экономит время пользователей Internet Explorer, запоминая данные, введенные в поля различных типов, которые были заполнены ранее. Mekotio отключает его, изменяя следующие значения реестра Windows:
HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \
AutoSuggest = «Нет»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Главная \
Используйте FormSuggest = «Нет»
FormSuggest Passwords = «Нет»
FormSuggest PW Ask = «Нет»
Хакеры постоянно совершенствуют Mekotio и внедряют новые методы уклонения от обнаружения. Троян может стать причиной серьезных финансовых потерь. Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и использовать комплексные антивирусные решения для защиты от киберугроз.
С 3 по 5 октября 2025 года в городе Переславль-Залесский прошла XXI конференция разработчиков свободного программного обеспечения. Мероприятие посетило свыше 2 тысяч участников, присутствовавших лично и подключившихся удаленно. Организацию события взяли на себя компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна Российской академии наук (ИПС РАН)
В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети
«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры
Согласно статистике детектирований антивируса Dr.Web, в III квартале 2025 года общее число обнаруженных угроз снизилось на 4,23% по сравнению со II кварталом. При этом количество уникальных угроз увеличилось на 2,17%. Чаще всего на защищаемых устройствах обнаруживалось нежелательное рекламное ПО, рекламные трояны и вредоносные скрипты. В почтовом трафике преобладали вредоносные скрипты, бэкдоры, и различные троянские программы, такие как загрузчики, дропперы и похитители паролей
В конце июня 2025 года в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке
В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров.
Более половины российских компаний сегмента МСП планируют увеличить траты на информационную безопасность в 2025 году, однако большинство готовы укреплять защиту лишь в ответ на внешнее давление. Так, 74% компаний заявляют, что готовы действовать только в случае введения новых требований регулятора — такие данные представлены во второй части исследования ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»
Ваши контактные данные не публикуются на сайте.