Mekotio bankacılık trojanı, Latin Amerika genelindeki finansal kurumlar ve bireyler için önemli bir tehdit olarak yeniden ortaya çıktı. 2015’ten beri aktif olan Mekotio kötü amaçlı yazılımı, öncelikli olarak Brezilya, Şili, Meksika, İspanya ve Peru gibi birkaç kalıcı hedef ülkeye karşı kullanıldı ve odak noktası bankacılık kimlik bilgileri gibi hassas bilgileri çalmaktı.
Mekotio, faaliyetleri yakın zamanda kolluk kuvvetleri tarafından kesintiye uğratılan Grandoreiro gibi diğer Latin Amerika bankacılık kötü amaçlı yazılımlarıyla benzerlikler taşıyor.
Mekotio Enfeksiyonu ve Ameliyatı
Trend Micro araştırmacıları, kampanyalar genelinde Mekotio kötü amaçlı yazılımının kullanımında bir artış olduğunu fark ettiler. Araştırmacılar, Mekotio’nun genellikle vergi dairelerinden gelen iletişimlermiş gibi görünen kimlik avı e-postaları aracılığıyla sistemlere sızdığını belirttiler. Bu mesajlar genellikle alıcının ödenmemiş vergi yükümlülükleri olduğunu iddia ederken, kötü amaçlı ZIP dosya ekleri veya kötü amaçlı yazılımı kurbanın sistemine indiren ve çalıştıran bağlantılar yerleştirir.
Mekotio etkinleştirildiğinde sistem bilgilerini toplar ve bir komuta ve kontrol sunucusuyla bağlantı kurar. Kötü amaçlı yazılım, enfekte olmuş sistemlerde aşağıdaki işlemleri gerçekleştirir:
- Kimlik bilgisi hırsızlığı: Mekotio, kullanıcıları oturum açma bilgilerini girmeye kandırmak için meşru bankacılık sitelerini taklit eden sahte açılır pencereler görüntüler.
- Bilgi toplama: Truva atı ekran görüntüleri alır, tuş vuruşlarını kaydeder ve panodaki verileri çalar.
- Kalıcılık: Mekotio, enfekte olmuş sistemlerde varlığını sürdürebilmek için kendini başlangıç programlarına ekleme veya zamanlanmış görevler oluşturma gibi taktikler kullanır.
Birkaç güvenlik araştırmacısı, Mekotio kötü amaçlı yazılımının kullanımını içeren önceki kampanyaları araştırdı ve bunu genellikle coğrafi konuma özgü bir Truva Atı olarak belirtti. Microsoft Güvenlik İstihbaratından gelen bir tehdit özeti, “Mekotio Truva Atı, DLL ve DLL’yi yükleyen yürütülebilir dosya aynı klasöre bırakıldığı için, DLL yan yüklemesini kullanarak yürütülen kötü amaçlı bir DLL kullanarak tespit edilmekten kaçınır. Klasör, yürütülebilir dosyanın orijinal DLL’ye ulaşmadan önce kötü amaçlı bırakılan DLL’yi yürütmeye yardımcı olmak için bir yükleme modülü aradığı ilk konumdur.”
Sayfada ayrıca, mağdurların enfeksiyondan sonra meşru bankacılık sitelerine erişimlerinin kısıtlanabileceği belirtiliyor.
Mekotio’ya Karşı Önlem ve Azaltma
Araştırmacılar, Mekotio gibi tehditlerle mücadele etmek için uygun uygulamaların sürdürülmesini tavsiye ettiler. Bunlar şunları içerir:
- İstenmeyen e-postalara karşı şüpheci olun ve gönderenin e-posta adresini doğrulayın.
- Gönderenin kimliğinden kesinlikle emin olmadığınız sürece bağlantılara tıklamaktan ve ekleri indirmekten kaçının.
- Bilinen iletişim bilgileri aracılığıyla göndericiyle iletişime geçilerek gönderici kimliğinin doğrulanması.
- E-posta filtreleri ve anti-spam yazılımları kullanın ve bunların güncel olduğundan emin olun.
- Mümkün olduğunda kimlik avı girişimlerini BT ve güvenlik ekiplerine bildirmek.
- Çalışanları kimlik avı ve sosyal mühendislik taktikleri de dahil olmak üzere güvenlik konusunda eğitmek.
Araştırmacılar ayrıca şu potansiyel tehlike göstergelerini de paylaştılar:
Dosya Karmaları:
5e92f0fcddc1478d46914835f012137d7ee3c217
f68d3a25433888aa606e18f0717d693443fe9f5a
3fe5d098952796c0593881800975bcb09f1fe9ed
1087b318449d7184131f0f21a2810013b166bf37
ef22c6b4323a4557ad235f5bd80d995a6a15024a
C&C sunucuları:
23[.]239[.]4[.]149:80
68[.]233[.]238[.]122:80
34[.]117[.]186[.]192:80
68[.]221[.]121[.]160:9095
68[.]221[.]121[.]160:80
her şey ileri[.]kuruluş
her şey ileri[.]eş:7958
İndirilenler:
hxxps://intimations[.]afip[.]ağız[.]ar[.]diş hekimi[.]cl/Documentos_Intimacion/
hxxps://techpowerup[.]net/cgefacturacl/downloadfactmayo/elektrik/
hxxps://christcrucifiedinternational[.]org/downloadfactmayo/elektrik/
Bu yönergelere uyulması, dikkatli olunması ve olası saldırı belirtilerinin incelenmesiyle, kuruluşlar ve bireyler Mekotio bankacılık trojanına kurban gitme risklerini önemli ölçüde azaltabilirler.