Данный зловред умеет подменять адрес получателя криптовалюты на адрес злоумышленника, подробно работу трояна и методы борьбы с ним описал специалист компании Eset Daniel Kundro в блоге https://www.welivesecurity.com/br/2020/07/15/mekotio-trojan-rouba-dados-de-acesso-em-servicos-home-banking/
Стадии заражения:
1. Методы социальной инженерии
Хотя Mekito заражает многие процессы пользователя, но начальный этап всегда начинается с получения фишингового письма со ссылкой на зловредный архив ниже приведена схема проникновения трояна:
2. Установка
После того, как ссылка будет открыта, сжатый файл .zip начинает загружаться автоматически. После того, как файл будет распакован, можно увидеть что он содержит файл с разрешением .msi
Происходит загрузка файла .zip и извлечение содержимого по следующему пути: “C:\programdata\*nombre aleatorio*\”. Этот файл .zip, как правило, содержит четыре файла:
а) Интерпретатор autoit (.exe)
б) Скрипт Autoit (.au3): содержит инструкции для загрузки библиотеки DLL Mekotio и выполнения функций, которые она экспортирует.
в) Mekotio (.dll): эта библиотека содержит весь код, который будет выполнять вредоносные действия, которые будут описаны ниже.
г) SQLite3 (.dll): содержит инструкции, необходимые для Mekotio для кражи зашифрованных паролей хранящихся в поисковых системах.
3. Сохранение
После того, как все четыре файла были загружены и распакованы, есть как минимум два варианта, в зависимости от вида Mekotio:
а) Происходит запись в один из ключей автозапуска реестра, добавлением строки для запуска вредоносных программ.
б) Добавление ярлыка в папку автозагрузки, с параметром для запуска вредоносных программ.
Таким образом, Mekotio запускается автоматически при каждом запуске системы.
Программа установки выполняет функцию downloader, и, кроме того, предусматривает сохранение угрозы на зараженном устройстве. Важной деталью является то, что, как только интерпретатор Autoit выполняет скрипт, загружает и запускает DLL, Mekotio будет выполняться в контексте исполнителя. Это важно, так как может быть полезно определить, заражен ли компьютер.
Ресурсы Mekotio (.dll)
Образцы, используемые для этого анализа содержат различные интересные функции, некоторые похожи на зарегистрированные в других семействах банковских троянов в Латинской Америке
-Разработана в Delphi
-Особенности защиты Анти-VM, контролируя наличие таких процессов, как VBoxService.exe
-Особенности защиты Anti-debugging (IsDebuggerPresent)
-Изменяет свое поведение в зависимости от языка операционной системы
-Имеет функцию самоуничтожения для отключения и остановки инфекции
-Содержит большое количество строк, зашифрованных с помощью алгоритма, аналогичный тому, который используется в других банковских троянах например в Латинской Америке
-Осуществляет поиск информации о безопасности продукции, установленные в системе
-Распространяется вместе с библиотекой SQLite3.dll
Ниже, мы опишем основные вредоносного поведения, наблюдаемых в проанализированных образцах:
Кражи учетных банковских данных через поддельные окна
Как это работает?
Эта угроза постоянно следит за тем, какие сайты посещает пользователь через браузер. Если вы вошли на сайт находящийся в базе и представляющий интерес, вредоносная программа отображает окно входа в систему фишингового сайта, который похож на сайт данного банковского учреждения. Цель в том, что пользователь должен ввести свои учетные данные для доступа к системе. Полученные данные отправляются на удаленный сервер, который хранит украденную информацию.
Кто может быть жертвой?
В отличие от других банковских троянов он более универсальный, эта возможность Mekotio специально ориентирована на пользователей домашнего банкинга имеющий небольшой набор стран. Тем не менее, важно подчеркнуть, что он представляет угрозу не только для пользователей банковского счета, но и тем, кто входит в торговые счета.
Кражи паролей сохраненных в браузерах
Особенностью, которая характеризует некоторые варианты Mekotio, является возможность украсть учетные данные доступа, сохраненные в системе некоторыми браузерами, такими как Google Chrome и Opera. Как правило, при попытке доступа к веб-сайту с помощью формы входа в систему браузер спрашивает пользователя, хотят ли они сохранить пароль на компьютере, и, если это разрешено, продолжать это делать. Кроме того, наряду с паролем также сохраняются пользователь и веб-сайт, связанный с только что введенной учетной записью.
Однако механизм безопасности, используемый этими браузерами для защиты сохраненных учетных данных, не эффективен в тех случаях, когда устройство уже взломано вредоносным ПО. Это связано с тем, что функция шифрования, используемая при сохранении пароля, разработана таким образом, что эту информацию может дешифровать только тот же пользователь операционной системы, который зашифровал ее в первую очередь. Поскольку вредоносное ПО запускается как пользовательское приложение, вы можете легко взломать пароли.
После получения паролей в виде простого текста Mekotio сохраняет их в файле с пользователями и веб-сайтами, с которыми они связаны, и переходит к фильтрации их через POST на веб-сайте, который может быть скомпрометирован киберпреступниками. С этого момента учетные данные пользователя скомпрометированы и находятся в руках злоумышленников.
Интересно, что эти браузеры хранят зашифрованные пароли в базе данных SQLite3, поэтому вредоносные программы должны иметь возможность обрабатывать базы данных такого типа. Исходя из этого, Mekotio обычно распространяется вместе с dll «SQLite3.dll», который содержит все инструкции, необходимые для получения сохраненных паролей.
Замена адресов биткоин кошелька
Эта вредоносная функция состоит в замене адресов кошелька биткоин, скопированных в буфер обмена, адресом кошелька злоумышленника. Таким образом, если зараженный пользователь хочет сделать перевод или внести депозит по указанному адресу и использовать команду копирования (щелчок правой кнопкой мыши / ctrl + c) вместо ввода вручную, когда он хочет вставить (щелчок правой кнопкой мыши-вставка / ctrl +) v) адрес для перевода, будет вставлен адрес злоумышленника. Если пользователь не заметит эту разницу и решит продолжить операцию, он отправит деньги непосредственно злоумышленнику.
Пример:
Шаг 1: пользователь копирует адрес биткоин кошелька на компьютере, зараженном Mekotio.
Адрес биткоин кошелька копируется случайным образом, чтобы увидеть, как Mekotio заменяет его в буфере обмена:
Шаг 2: пользователь вставляет адрес, который он скопировал ранее.
Команда «вставить» используется для наблюдения за тем, как Mekotio заменил адрес в буфере обмена:
Шаг 3: Вы можете увидеть, как адрес, вставленный на шаге 2, отличается от адреса, который был скопирован на шаге 1
Вы можете увидеть разницу между первоначально скопированным адресом и вставленным адресом:
Хотя этот механизм кражи очень прост и с ним легко бороться, проверив адрес, на который он будет передан, просмотрев историю передачи, полученную кошельками злоумышленника, можно сделать вывод, что многие люди стали жертвами этой динамики
Баланс одного из биткоин адресов используемого киберпреступниками:
В случае адреса, проанализированного на последнем скриншоте , видно, что он получил 6 транзакций на общую сумму 0,2678 BTC, примерно 2500 долларов США в соответствии с текущей ценой Биткоина. Эти транзакции были получены в период с 25.10.08 по 14.06.2020. Важно отметить, что этот период не охватывает весь период активности Mekotio, и, в свою очередь, самые последние транзакции могут происходить из-за старых инфекций, которые не были обезврежены.
Индикаторы компрометации
Есть два варианта, в зависимости от варианта Mekotio, который заразил систему:
-Просмотр всех записей реестра, используемых для автозапуска
-Проверка ярлыков в папке автозагрузки
Команда, используемая в ярлыках, и команда записанная в записях реестра, должны ссылаться на исполняемый файл, который будет соответствовать интерпретатору Autoit.
Это легко сделать с помощью программы Autoruns https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
Файлы
Mekotio использует несколько файлов для хранения украденных паролей или в качестве индикаторов, на основании которых он изменяет свое поведение:
C:\Users\*User name*\*name of interpretator AI*.jkl
C:\Users\*User name*\*name of interpretator AI *.exe.jpg
C:\Users\*User name*\Bizarro.txt
C:\Users\*User name*\V.txt
C:\Users\*User name*\Ok.txt
C:\Users\*User name*\Etc
Процесс Autoit
Если в нашей системе обнаружена программа с логотипом Autoit и произвольно выглядящим названием (бессмысленными буквами), весьма вероятно, что компьютер заражен. Это можно проверить с помощью некоторых активных программ отображения процессов, таких как Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
Autoit не отображается в диспетчере задач Windows, поскольку Mekotio использует механизмы, для предотвращения этого.
Сетевой трафик
Сетевой трафик между Mekotio и вашим C&C включает частый обмен сообщениями с четко определенной структурой: <| * Command * |> :
<|vhxboj|>; <|WGSGTNU|>; <|tksN|>; <|VOTM|>; <|LSTU|>; <|Gpsxi|> ; <|ZKXAKYWQKEHUGZJ|>; <|lozyw|>;<|SuaykRJ|>; <|SuaykJI|>; <|ztUjzwtR|>; <|IXjzwtR|>; <|utypzjI|>; <|WGSGTNU|>
Обмен инициируются зараженным компьютером. Зараженное устройство отправляет команду, за которой следует украденная информация о системе, например: операционная система, пользователь, установленное программное обеспечение безопасности и т. д.
Советы, чтобы защитить себя от Mekotio
Некоторые из наиболее важных мер, в прямой связи с этой угрозой, являются:
-Не открывайте ссылки, содержащиеся в электронных письмах, которые выглядят подозрительно
-Не загружайте вложения в подозрительных электронных письмах
-Если файл начинает загружаться автоматически, не открывайте его
-Будьте осторожны при загрузке и распаковке .zip, rar , когда они поступают из ненадежных источников, так как они часто используются для сокрытия вредоносных программ и обхода определенных механизмов безопасности
-Будьте особенно осторожны при загрузке / запуске установщиков .msi или исполняемых файлов .exe, проверяйте их достоверность.
-Установите и обновите антивирусное программное обеспечение
-Держите все программное обеспечение устройства в актуальном состоянии
В каждом из упомянутых выше пунктов цель состоит в том, чтобы предотвратить некоторые этапы процесса установки и заражения. Если эти шаги сделаны пользователем, то Mekotio не запустится.