Troianul Mekotio folosește AutoHotKey pentru a evita detecția

Potrivit Cofense PDC, troianul bancar Mekotio a fost folosit în mail-uri de phishing împotriva utilizatorilor spanioli, folosind AutoHotKey (AHK) pentru a-și masca prezența.

Ultimele campanii de phishing au vizat clienții băncilor din America Latină și Europa (Franța, Portugalia și Spania). Troianul a vizat în mod special utilizatorii vorbitori de limba spaniolă și a folosit două e-mailuri separate ca vector de infecție inițial. Unul dintre acestea solicita descărcarea unui fișier protejat prin parolă, iar celălalt transmitea o notificare falsă. În ambele e-mailuri, codul malițios era inclus în cadrul unui fișier .ZIP, care era descărcat pe computerele victimelor.

Mail-urile malițioase conțineau trei fișiere:

  • Un executabil legitim al compilatorului AHK;
  • Un script AHK malițios;
  • Troianul Mekotio în sine.

Aceste fișiere sunt dezarhivate într-un fișier denumit aleatoriu salvat pe hard drive-ul local. Un script rulează apoi compilatorul AHK pentru a executa script-ul ce încarcă malware-ul Mekotio în memoria compilatorului. De aici, troianul va funcționa apoi din cadrul procesului de compilare AHK prin utilizarea unui binar ”deghizat”, pentru a face detecția mai dificilă pentru soluțiile de securitate de tip endpoint. Pentru persistență, de fiecare dată când sistemul repornește, acesta copiază toate cele trei fișiere într-un folder nou și folosește un run key pentru a porni lanțul de execuție.

Acest troian are mai multe capacități suplimentare, inclusiv:

  • Monitorizarea activității browser-ului băncilor vizate;
  • Afișarea unei versiuni false a paginii web victimelor;
  • Monitorizarea adreselor Bitcoin copiate de utilizatori și înlocuirea valorii din clipboard a acestora cu cea a atacatorilor.

În concluzie, în urma acestor campanii s-a descoperit că binarele legitime pot fi folosite pentru activități rău intenționate, tocmai de aceea experții recomandă creșterea vigilenței atunci când se descarcă fișiere din surse necunoscute din Internet. Mai mult, se recomandă verificarea în permanență a directorul de date al programului Windows pentru a vedea dacă există directoare de fișiere noi  create aleatoriu.

Sursa:  

https://cyware.com/news/mekotio-tojan-is-using-autohotkey-to-avoid-detection-d9d237d4

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică