Yaakov's Group | Ciberseguridad

El troyano bancario Mekotio imita las alertas de actualización para robar Bitcoin

Comparte este post en tus redes sociales

Según el sitio Blue Keeping Comuputer un troyano bancario versátil dirigido a usuarios en América Latina ha estado circulando en varios países, incluidos México, Brasil, Chile, España, Perú y Portugal.

El malware garantiza la persistencia en los sistemas infectados y tiene capacidades avanzadas como colocar puertas traseras, robar bitcoins y filtrar credenciales.

Apodado Mekotio, el troyano recopila información confidencial de los hosts de las víctimas, como la configuración del firewall, la información del sistema operativo, si los privilegios de administrador están habilitados y el estado de cualquier producto antivirus instalado.

Ventanas emergentes de actualización de sitios falsos

Un comportamiento específico de Mekotio es utilizar ventanas emergentes del sistema que se hacen pasar por actualizaciones del sistema.

La ventana emergente de Windows que se muestra a continuación contiene un mensaje falso en portugués que advierte al usuario: «¡Actualmente estamos realizando actualizaciones de seguridad en el sitio! ¡Vuelva a intentarlo más tarde!»

«Mekotio tiene varias capacidades de puerta trasera típicas. Puede tomar capturas de pantalla, manipular ventanas, simular acciones de mouse y teclado, reiniciar la máquina, restringir el acceso a varios sitios web bancarios y actualizarse», explica un informe publicado por ESET esta semana.

Algunas variantes del troyano también pueden secuestrar la criptomoneda reemplazando una dirección de billetera Bitcoin en el portapapeles y obteniendo contraseñas guardadas desde el navegador web Chrome.

Troyano distribuido mediante phishing

Las investigaciones de ESET han indicado que el spam de phishing parece ser la forma principal de distribución que aprovechan los creadores de Mekotio.

El correo electrónico pretende contener un recibo, pero tiene enlaces que descargan un archivo ZIP malicioso asociado con este malware.

Se sabe que el troyano circula desde al menos 2015. Desde 2018, los investigadores han observado 38 cadenas de distribución diferentes utilizadas por Mekotio y hebras similares.

Mecánica de ataque

En uno de los escenarios de ataque, el malware «pasa contexto» entre diferentes procesos para evadir la detección y el análisis.

Inicialmente, un simple dropper BAT inicia un descargador de VBScript con parámetros que contienen un verbo HTTP y la URL a otro descargador.

Este descargador intermedio llama a otra URL para obtener y ejecutar un script de PowerShell que además recupera el descargador con la carga útil maliciosa.

Vale la pena señalar que estos descargadores utilizan un método y un encabezado HTTP «User-Agent» personalizado (verbo HTTP) para obtener los descargadores de la siguiente etapa.

Esta es una táctica inteligente cuando alguien accede a la URL directamente, p. Ej. desde un navegador web, estaría enviando encabezados «User-Agent» muy diferentes y probablemente estaría usando el método «GET» predeterminado, a diferencia del verbo HTTP «111SA» personalizado esperado por el servidor C&C.

Este constante paso de contexto entre procesos ayuda al troyano a enmascarar sus pasos. Por ejemplo, incluso si uno de los indicadores de compromiso (IoC) fuera detectado en las etapas iniciales por un producto antivirus, las URL restantes y los descargadores permanecerían ocultos a los ojos de los investigadores y las herramientas de detección.

Otro escenario que usa Mekotio es ocultar JavaScript en un paquete MSI.

«En este caso, la cadena es mucho más corta y menos robusta, ya que solo un único JavaScript, que sirve como etapa final, está integrado en el MSI y se ejecuta», explica el informe.

Los binarios de Mekotio utilizan el mismo algoritmo criptográfico que utiliza la familia Casbaneiro al cifrar cadenas. En el caso de Mekotio, sin embargo, la variación radica en la forma en que se modifican los datos antes de su descifrado.

Los investigadores declararon que «los primeros bytes de la clave de descifrado codificada pueden ignorarse, al igual que algunos bytes de la cadena cifrada. Algunas variantes codifican aún más cadenas cifradas con base64».

Los muchos casos de uso del troyano también se extienden para incluir la manipulación de valores de registro.

Al deshabilitar varios valores de registro como «HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \», el troyano desactiva la función «autocompletar» en los navegadores web, lo que obliga a las víctimas a volver a escribir sus contraseñas, que luego el troyano interceptaría. .

C&C Server tiene referencias crípticas de bases de datos SQL

Los servidores de comando y control (C&C) utilizados por Mekotio se basan en el proyecto de código abierto de Delphi Remote Access PC o utilizan una base de datos SQL que almacena comandos C&C.

Para ocultar los detalles del esquema SQL, Mekotio no tiene cadenas de consulta SQL directamente codificadas (por ejemplo, «SELECT * FROM table WHERE …»). En cambio, simplemente llama a procedimientos SQL específicos almacenados en el lado del servidor.

Además, los medios para establecer una conexión con la base de datos SQL son crípticos.

En lugar de tener dominios específicos y direcciones IP codificadas en los binarios, Mekotio se basa en dos listas: una con «dominios falsos» y otra con números de puerto.

Luego, un algoritmo misterioso ejecuta operaciones aritméticas para generar dinámicamente las direcciones de dominio C&C reales.

«Se elige un dominio aleatorio de ambas listas y se resuelve. La dirección IP se modifica aún más. Al generar el dominio C&C, se resta un número codificado del último octeto de la dirección IP resuelta. Al generar el puerto C&C, los octetos se unen juntos y tratados como un número «, explican los investigadores de ESET.

Esto hace que sea más difícil identificar los dominios maliciosos durante el análisis estático.

Los diferentes enfoques integrados en el troyano también generan dominios basados en algoritmos complejos. Por ejemplo, generar un hash MD5 de la hora local, la zona horaria de la víctima, la fecha actual, etc.

Los investigadores de ESET sospechan que se están desarrollando múltiples variantes de Mekotio al mismo tiempo. Han descrito el ciclo de vida de desarrollo de este malware como «bastante caótico», al igual que otros troyanos bancarios latinoamericanos.

Un troyano bancario persistente este complejo con una gran cantidad de variantes plantea mayores desafíos para los profesionales de la seguridad y abre más posibilidades para su próxima iteración.

En el informe de ESET se identificaron y proporcionaron análisis detallados de Mekotio, junto con la lista completa de IoC que utiliza.

Fuente: Blue Keeping Comuputer

Deja un comentario