Financiële instellingen in Latijns-Amerika worden bedreigd door een bankingtrojan genaamd Mekotio (ook bekend als Melcoz).
Dat blijkt uit bevindingen van Trend Micro, dat onlangs een toename in cyberaanvallen waarbij Windows-malware werd verspreid, heeft waargenomen.
Mekotio wordt al sinds 2015 actief gebruikt en richt zich op Latijns-Amerikaanse landen als Brazilië, Chili, Mexico, Spanje, Peru en Portugal met als doel bankgegevens te stelen.
De malware werd voor het eerst in augustus 2020 door ESET gedocumenteerd en maakt deel uit van een viertal bankingtrojans die gericht zijn op de regio’s Guildma, Javali en Grandoreiro. De laatste werd eerder dit jaar door de politie ontmanteld.
“Mekotio heeft dezelfde kenmerken als dit type malware, zoals dat het geschreven is in Delphi, gebruikmaakt van nep-pop-upvensters, backdoor-functionaliteit bevat en gericht is op Spaans- en Portugeestalige landen”, aldus het Slowaakse cybersecuritybedrijf destijds.
De malware-operatie kreeg in juli 2021 een klap toen Spaanse wetshandhavingsinstanties 16 personen arresteerden die tot een crimineel netwerk behoorden. Ze werden verdacht van het uitvoeren van social engineering-campagnes die gericht waren op Europese gebruikers en die onder meer Grandoreiro en Mekotio leverden.
Bij deze aanvalsketens wordt gebruikgemaakt van phishingmails met belastingthema’s. Deze e-mails zijn bedoeld om ontvangers ertoe te verleiden schadelijke bijlagen te openen of op valse links te klikken. Deze links leiden vervolgens tot de installatie van een MSI-installatiebestand, dat op zijn beurt gebruikmaakt van een AutoHotKey (AHK)-script om de malware te starten.
Het is de moeite waard om op te merken dat het infectieproces enigszins afwijkt van het proces dat Check Point in november 2021 al beschreef. Bij dat proces werd gebruikgemaakt van een verhuld batchscript dat een PowerShell-script uitvoert om een ZIP-bestand in de tweede fase te downloaden dat het AHK-script bevat.
Na installatie verzamelt Mekotio systeemgegevens en maakt contact met een command-and-control (C2)-server om verdere instructies te ontvangen.
Het hoofddoel is om bankgegevens te stelen door nep-pop-ups te tonen die zich voordoen als legitieme bankwebsites. Het kan ook screenshots maken, toetsaanslagen registreren, klembordgegevens stelen en persistentie op de host tot stand brengen met behulp van geplande taken.
De gestolen informatie kan vervolgens door cybercriminelen worden gebruikt om ongeautoriseerde toegang te krijgen tot de bankrekeningen van gebruikers en frauduleuze transacties uit te voeren.
“De Mekotio banking trojan is een hardnekkige en evoluerende bedreiging voor financiële systemen, met name in Latijns-Amerikaanse landen,” aldus Trend Micro. “Het gebruikt phishing-e-mails om systemen te infiltreren, met als doel gevoelige informatie te stelen en tegelijkertijd een sterke positie te behouden op gecompromitteerde machines.”
De ontwikkeling komt terwijl het Mexicaanse cybersecuritybedrijf Scitum details bekendmaakte over een nieuwe Latijns-Amerikaanse banking-trojan met de codenaam Red Mongoose Daemon. Deze trojan, net als Mekotio, maakt gebruik van MSI-droppers die worden verspreid via phishing-e-mails die zich voordoen als facturen en belastingnota’s.
“Het hoofddoel van Red Mongoose Daemon is om de bankgegevens van slachtoffers te stelen door PIX-transacties te vervalsen via overlappende vensters,” aldus het bedrijf. “Deze trojan is gericht op Braziliaanse eindgebruikers en werknemers van organisaties met bankgegevens.”
“Red Mongoose Daemon kan vensters manipuleren en maken, opdrachten uitvoeren, de computer op afstand besturen, webbrowsers manipuleren, klemborden kapen en Bitcoin-wallets imiteren door gekopieerde wallets te vervangen door wallets die door cybercriminelen worden gebruikt.”
