0
0
Um relatório da Checkpoint descobriu que uma nova versão do Mekotio, um trojan bancário responsável por uma série de fraudes digitais em 2015, está à ativa na internet outra vez — e causando estragos.
Nos últimos três meses, cerca de 100 ataques cibernéticos utilizando o malware foram detectados pelos pesquisadores, que encontraram o golpe distribuído em campanhas de phishing, com emails maliciosos.
A estimativa é de que a nova versão do malware estivesse em operação desde, no mínimo, junho deste ano, quando as forças de segurança da Espanha prenderam 16 criminosos realizando lavagem de dinheiro adquiridos pelo trojan. Em uma investigação inicial, a Guarda Civil Espanhola estimou um roubo de 3,5 bilhões de euros usando o programa malicioso.
No entanto, a prisão da célula espanhola não impediu a distribuição do programa, o que leva os especialistas da Checkpoint a acreditar que a célula principal de ação esteja localizada no Brasil.
Mekotio, um malware brasileiro
Uma disseminação do Mekotio inicia com um envio de email falso, levando o usuário a baixar um arquivo em “.zip” comprometido. Ao abrir o download, arquivos ofuscados — e que passam por debaixo do nariz de um antivírus —levam à execução de um script em Powershell, que verifica a localização do usuário.
Se o arquivo encontrasse um IP localizado no Brasil, México, Espanha, Peru ou Chile, o trojan bancário iria levar a um segundo download de arquivo “.zip”. A extração criaria uma pasta no sistema com um keylogger, que interpretaria tudo o que foi digitado no sistema. Por fim, o arquivo seria convertido em “.dll” e enviado diretamente para a central de comando (C2) dos cibercriminosos.
A “brasilidade” do malware está, por assim dizer, no seu próprio código. O Mekotio “mapeia” cada etapa de suas ações com a riqueza do nosso léxico.
No código, desde termos errados (“sentopeia” e “xuxura”) foram encontrados para as etapas do hacking. Gírias (“marginal”, “loirao” e “superman”) e até palavrões (“bu**tão” e “bai**la”) também faziam parte das etapas.
Exportando talentos do cibercrime
Uma análise da Kaspersky aponta que o Mekotio faz parte da Tetrade — um dos quatro maiores famílias de trojans bancários “made in Brazil” que atingiram popularidade no exterior. A complexidade destes programas fez com que o nosso país entrasse na rota de exportação de malwares para o exterior.
As quatro famílias — Guildma, Javali, Melcoz (da qual o Mekotio faz parte) and Grandoreiro — são todas conhecidas por serem altamente complexas e burlarem sistemas de segurança com táticas de ofuscação. A natureza modular dos malwares também permitia que sua ação fosse reprogramada para agir diretamente em bancos de nacionalidades específicas.
FONTE: OLHAR DIGITAL