Erkennungsinhalt: Mekotio Banking-Trojaner

Mekotio ist ein weiterer lateinamerikanischer Banking-Trojaner der hauptsächlich auf Benutzer in Brasilien, Mexiko, Spanien, Chile, Peru und Portugal abzielt. Dies ist eine persistente Malware, die über Phishing-E-Mails verbreitet wird und Persistenz entweder durch Erstellen einer LNK-Datei im Startordner oder durch die Verwendung eines Run-Schlüssels sicherstellt. Es ist in der Lage, Kryptowährungen von einem gezielten Benutzer zu stehlen, Screenshots zu machen, infizierte Systeme neu zu booten, den Zugriff auf legitime Banking-Websites einzuschränken und Anmeldedaten von Google Chrome zu stehlen. Außerdem kann der Banking-Trojaner auf die Systemeinstellungen des Benutzers zugreifen, Informationen über das Windows-Betriebssystem, die Firewall-Konfiguration, die Liste der installierten Antivirenlösungen. 

Mekotio Banking-Trojaner kann als ein einfacher Wiper fungieren, indem er Systemdateien und -ordner löscht. Die bemerkenswerteste Funktion der neuesten Varianten dieser Malware-Familie ist die Verwendung einer SQL-Datenbank als C&C-Server. Die von Mekotio verwendeten C&C-Server basieren entweder auf dem Open-Source-Projekt Delphi Remote Access PC oder verwenden eine SQL-Datenbank, die C&C-Befehle speichert. Mekotio ruft bestimmte SQL-Prozeduren auf, die serverseitig mit den im Binary hartcodierten Anmeldedaten gespeichert sind. 

Osman Demir veröffentlichte neue Community-Sigma-Regeln zur Erkennung der Installation des Trojaners und seiner Persistenzmechanismen

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Erste Zugriff, Persistenz

Techniken: Registry Run Keys / Startup Folder  (T1060), Spearphishing Link (T1192)

Entdecken Sie mehr Regeln im Threat Detection Marketplace veröffentlicht von Osman Demir

Bereit für einen Test von SOC Prime TDM? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.