Contenido de Detección: Troyano Bancario Mekotio

[post-views]
agosto 18, 2020 · 2 min de lectura
Contenido de Detección: Troyano Bancario Mekotio

Mekotio es un troyano bancario de América Latina que se dirige principalmente a usuarios en Brasil, México, España, Chile, Perú y Portugal. Se trata de un malware persistente que se distribuye a través de correos electrónicos de phishing y asegura la persistencia creando un archivo LNK en la carpeta de inicio o utilizando una clave de ejecución. Es capaz de robar criptomonedas de un usuario objetivo, tomar capturas de pantalla, reiniciar sistemas infectados, restringir el acceso a sitios web bancarios legítimos y robar credenciales de Google Chrome. Además, el troyano bancario puede acceder a la configuración del sistema del usuario, información sobre el sistema operativo Windows, configuración del firewall, y la lista de soluciones antivirus instaladas. 

El troyano bancario Mekotio puede actuar como un simple destructor al eliminar archivos y carpetas del sistema. La característica más notable de las variantes más recientes de esta familia de malware es el uso de una base de datos SQL como servidor C&C. Los servidores C&C utilizados por Mekotio están basados en el proyecto de código abierto Delphi Remote Access PC o utilizan una base de datos SQL que almacena comandos C&C. Mekotio llama a procedimientos SQL específicos almacenados en el lado del servidor usando las credenciales codificadas en el binario. 

Osman Demir lanzó una nueva regla Sigma comunitaria para detectar la instalación del troyano y sus mecanismos de persistencia

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Persistencia

Técnicas: Claves de Ejecución del Registro / Carpeta de Inicio  (T1060), Phishing Dirigido Enlace (T1192)

 

Explora más Reglas en Threat Detection Marketplace publicado por Osman Demir


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias