Erkennungsinhalt: Mekotio Banking-Trojaner

Neueste Bedrohungen

August 18, 2020

2 min zu lesen

Erkennungsinhalt: Mekotio Banking-Trojaner

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Mekotio ist ein weiterer lateinamerikanischer Banking-Trojaner der hauptsächlich auf Benutzer in Brasilien, Mexiko, Spanien, Chile, Peru und Portugal abzielt. Dies ist eine persistente Malware, die über Phishing-E-Mails verbreitet wird und Persistenz entweder durch Erstellen einer LNK-Datei im Startordner oder durch die Verwendung eines Run-Schlüssels sicherstellt. Es ist in der Lage, Kryptowährungen von einem gezielten Benutzer zu stehlen, Screenshots zu machen, infizierte Systeme neu zu booten, den Zugriff auf legitime Banking-Websites einzuschränken und Anmeldedaten von Google Chrome zu stehlen. Außerdem kann der Banking-Trojaner auf die Systemeinstellungen des Benutzers zugreifen, Informationen über das Windows-Betriebssystem, die Firewall-Konfiguration, die Liste der installierten Antivirenlösungen. 

Mekotio Banking-Trojaner kann als ein einfacher Wiper fungieren, indem er Systemdateien und -ordner löscht. Die bemerkenswerteste Funktion der neuesten Varianten dieser Malware-Familie ist die Verwendung einer SQL-Datenbank als C&C-Server. Die von Mekotio verwendeten C&C-Server basieren entweder auf dem Open-Source-Projekt Delphi Remote Access PC oder verwenden eine SQL-Datenbank, die C&C-Befehle speichert. Mekotio ruft bestimmte SQL-Prozeduren auf, die serverseitig mit den im Binary hartcodierten Anmeldedaten gespeichert sind. 

Osman Demir veröffentlichte neue Community-Sigma-Regeln zur Erkennung der Installation des Trojaners und seiner Persistenzmechanismen

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Erste Zugriff, Persistenz

Techniken: Registry Run Keys / Startup Folder  (T1060), Spearphishing Link (T1192)

 

Entdecken Sie mehr Regeln im Threat Detection Marketplace veröffentlicht von Osman Demir


Bereit für einen Test von SOC Prime TDM? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko