2015’ten beri aktif olan Mekotio, Brezilya, Şili, Meksika, İspanya ve Peru gibi bölgelerdeki finansal verileri hedeflemek için özel olarak tasarlanmış bir Latin Amerika bankacılık trojanıdır. Yakın zamanda bozulan Grandoreiro kötü amaçlı yazılımına bağlantılar gösterir, her ikisi de muhtemelen aynı kaynaktan gelir.
Mekotio, birincil enfeksiyon vektörü olarak kimlik avı e-postalarını kullanır. Bu e-postalar, kullanıcıları kötü amaçlı bağlantılarla etkileşime girmeye veya ekleri açmaya yönlendirmek için sosyal mühendislik taktiklerini içerir.
Bir sistem tehlikeye girdiğinde, tuş vuruşlarını kaydetmek, ekran görüntüleri almak ve panodaki verileri çalmak gibi çeşitli teknikler kullanarak bankacılık kimlik bilgilerinizi çalar.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Mekotio, enfekte olmuş makinede varlığını garanti altına almak için kalıcılık mekanizmaları kullanır.
Bir bankacılık trojan’ı, vergi dairesi bildirimleri gibi görünen, ZIP ekleri veya kötü amaçlı bağlantılar içeren kimlik avı e-postaları yoluyla kullanıcıları hedef alıyor.
Kullanıcı etkileşime girdiğinde, PDF eki Mekotio’yu indirip çalıştıran kötü amaçlı bir bağlantı açıyor ve çalıştırıldığında sistem bilgilerini toplayıp talimatlar ve görevler için bir komuta ve kontrol sunucusuna bağlanıyor.
Mekotio, bir sisteme eriştikten sonra finansal bilgileri hedef alıyor ve meşru bankacılık sitelerini taklit etmek için tasarlanmış sahte oturum açma açılır pencereleri aracılığıyla kimlik bilgilerini çalmak için kimlik avı taktiklerini kullanıyor.
Mekotio, daha da hassas verileri toplamak için tuş kaydı, ekran görüntüsü yakalama ve panodan veri hırsızlığı işlevlerine sahiptir.
Kötü amaçlı yazılım ayrıca başlangıç programlarına kendisini ekleyerek veya zamanlanmış görevler oluşturarak tutunma mekanizmalarını da uygular.
Bankacılık trojanları, meşru bankacılık web sitelerini taklit ederek kullanıcı güvenini suistimal ediyor ve bir kullanıcı kötü amaçlı içerikle etkileşime girdiğinde, kötü amaçlı yazılım oturum açma kimlik bilgilerini çalıp bunları gerçek bir bankacılık web sitesine enjekte ediyor.
Saldırganların merkezi bir merkez görevi gören ve çalınan kimlik bilgilerini ve potansiyel olarak ek kötü amaçlı yazılım talimatlarını alan komuta ve kontrol (C&C) sunucusu, daha sonra bu bilgileri kendisine geri sızdırır.
Saldırganlar, çalınan bu bankacılık bilgileriyle kurbanın hesabında dolandırıcılık işlemleri başlatmak gibi yetkisiz eylemler gerçekleştirebiliyor.
Kullanıcılar, e-posta yoluyla taşınan tehditleri azaltmak için e-posta güvenliği uygulamalarını kullanabilirler. Bunlar arasında e-posta adresi incelemesi, dil bilgisi ve yazım denetimleri ve konu satırı analizi yoluyla gönderenin doğrulanması yer alır. Ayrıca, gönderen doğrulanmadığı sürece bağlantı ve eklerden kaçınılmalıdır.
Şüpheliyse, e-postanın meşruiyetini doğrulamak için bilinen kanallar aracılığıyla göndericiyle iletişime geçin. Kuruluşlar güncel spam filtreleri ve güvenlik yazılımları kullanmalı ve kullanıcılar kimlik avı girişimlerini bildirmelidir.
Trend Micro’ya göre, çalışanlara kimlik avı ve sosyal mühendislik tekniklerini öğretmek için düzenli olarak güvenlik farkındalığı eğitimi verilmesi büyük önem taşıyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo