Le troyen bancaire Mekotio falsifie une mise à jour de sécurité, vole des bitcoins et exfiltre les informations d'identification Google.
Publié le 13/08/2020 Dans Press Releases  Par cda
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, PRAGUE – Le 13 août 2020 – Les chercheurs d'ESET se penchent à nouveau sur les troyens bancaires actifs, originaires d'Amérique latine. Cette fois, ils ont exploré Mekotio, un troyen bancaire ciblant les pays de langue espagnole et portugaise, et plus particulièrement l’Espagne et le Portugal ainsi que le Brésil, le Chili, le Mexique et le Pérou. Mekotio a diverses activités typiques de porte dérobée, parmi lesquelles la captures d'écran, le redémarrage des machines affectées, la restriction d’accès aux sites Web bancaires légitimes et, dans certaines variantes, le vol de bitcoins et l'exfiltration d’informations d'identification stockées par le navigateur Google Chrome.
Mekotio est actif depuis au moins 2015 et, comme d'autres troyens bancaires étudiés par ESET, il partage des caractéristiques communes pour ce type de malware telles que l'écriture en Delphi, l'usage de fausses fenêtres pop-up et contient également des fonctionnalités de porte dérobée. Afin de paraître moins suspect, Mekotio essaie de se faire passer pour une mise à jour de sécurité en utilisant une boîte à message spécifique.
Mekotio peut accéder à de nombreux détails techniques de ses victimes, comme par exemple des informations sur la configuration du pare-feu, les privilèges d'administrateur, la version du système d'exploitation Windows ainsi qu’une liste des produits anti-fraude et des solutions anti-malware déjà installées. Une commande tente même de paralyser la machine affectée en essayant de supprimer tous les fichiers et dossiers de l’arborescence C: \ Windows.
«Pour nos chercheurs, la caractéristique la plus remarquées des dernières variantes de cette famille de malware est son utilisation d'une base de données SQL en tant que serveur C&C et la façon dont elle abuse de l'interprète légitime AutoIt comme principale méthode d'exécution», explique Robert Šuman, le chercheur d'ESET qui diriger l'équipe travaillant sur Mekotio. Le malware est principalement distribué via spam. Depuis 2018, les chercheurs d'ESET ont observé 38 chaînes de distribution différentes utilisées par cette famille. La plupart de ces chaînes fonctionnent par plusieurs étapes et finissent par télécharger une archive ZIP, un comportement bien connu des troyens bancaires d'Amérique latine.
«Le chemin de développement suivi par Mekotio est plutôt chaotique, ses fonctionnalités ont été très souvent modifiées. Sur base de sa gestion des versions internes, ESET pense que plusieurs variantes sont développées simultanément », ajoute Šuman.
Pour plus de détails techniques sur Mekotio, lisez le blog "Mekotio: These aren’t the security updates you’re looking for ..." sur www.Welivesecurity.com

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be  - © 2002-2020 Akretio SPRL  - Generated via Kelare
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?