Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.
Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.
Aliran serangan baru
Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.
Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.
Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.
Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.
Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.
Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.
Kode lama dalam bungkus baru
Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:
- File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
- Skrip PowerShell tanpa file baru yang berjalan langsung di memori
- Penggunaan Themida v3 untuk mengemas muatan DLL akhir
Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.
Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.
Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.
Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.
Sumber: Bleepingcomputer
Leave a Reply