El troyano bancario Mekotio resurge con novedades

Publicado el 5 noviembre 2021 ¬ 8:37 amh.mscComentarios desactivados en El troyano bancario Mekotio resurge con novedades

https://i1.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/11/trojan-horse.jpg?w=1200&ssl=1Troyano Mekotio

Se han detectado nuevas muestras de Mekotio con novedades relacionadas con el mecanismo de infección, que lo hacen más sigiloso, reduciendo la detección.

En los últimos días se han detectado nuevas campañas del troyano bancario Mekotio, en ellas, los atacantes envían correos electrónicos fraudulentos haciéndose pasar por la Administración Tributaria. De esta forma, tratan de convencer a las víctimas de que descarguen y abran los ficheros adjuntos, que realmente contienen un dropper del malware, que en fases posteriores se encargará de descargar y ejecutar el troyano bancario.

Esta nueva campaña de Mekotio comienza con el envío del email fraudulento, que contiene un fichero ZIP adjunto. Dicho fichero contiene un script Powershell que es ejecutado al abrir el fichero comprimido. Este script descargará un nuevo fichero ZIP que contiene la carga maliciosa de la segunda etapa.

En la segunda etapa, se descomprime el segundo comprimido para ejecutar el malware bancario. Este contiene tres ficheros:

Interprete de AutoHotKey (AHK)
Script AutoHotKey
Una DLL que implementa la carga maliciosa del troyano
Esta estrategia en la que se utilizan interpretes de lenguajes de scripting no es nuevo, es la estrategia habitual utilizada por Mekotio. De esta forma, el interprete interpreta y ejecuta el script, que carga la DLL en memoria y la ejecuta. Antes de esta estrategia, los atacantes utilizaban binarios legítimos con vulnerabilidades de DLL Hijacking para ejecutar la DLL maliciosa. De esta forma, tratan de reducir la detección por parte de las soluciones anti-malware, ya que la ejecución se realiza a través de binarios legítimos y firmados.

Estas nuevas campañas llegan después de que el pasado mes de julio la policía española detuviese a 16 individuos relacionados con el troyano bancario Mekotio y otro troyano bancario similar conocido como Grandoreiro.

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies