Contenu de Détection : Cheval de Troie Bancaire Mekotio

[post-views]
août 18, 2020 · 2 min de lecture
Contenu de Détection : Cheval de Troie Bancaire Mekotio

Mekotio est un autre cheval de Troie bancaire latino-américain qui cible principalement les utilisateurs au Brésil, au Mexique, en Espagne, au Chili, au Pérou et au Portugal. Il s’agit d’un logiciel malveillant persistant qui est distribué via des e-mails de phishing et assure sa persistance soit en créant un fichier LNK dans le dossier de démarrage, soit en utilisant une clé Run. Il est capable de voler des cryptomonnaies d’un utilisateur ciblé, de prendre des captures d’écran, de redémarrer les systèmes infectés, de restreindre l’accès aux sites bancaires légitimes et de voler des identifiants à partir de Google Chrome. De plus, le cheval de Troie bancaire peut accéder aux paramètres système de l’utilisateur, aux informations sur le système d’exploitation Windows, à la configuration du pare-feu et à la liste des solutions antivirus installées. 

Le cheval de Troie bancaire Mekotio peut agir comme un simple wiper en supprimant des fichiers et dossiers système. La caractéristique la plus remarquable des variantes les plus récentes de cette famille de logiciels malveillants est l’utilisation d’une base de données SQL comme serveur C&C. Les serveurs C&C utilisés par Mekotio sont soit basés sur le projet open-source Delphi Remote Access PC, soit utilisent une base de données SQL stockant les commandes C&C. Mekotio appelle des procédures SQL spécifiques stockées côté serveur en utilisant les identifiants codés en dur dans le binaire. 

Osman Demir a publié une nouvelle règle Sigma communautaire pour détecter l’installation du cheval de Troie et ses mécanismes de persistance

 

La règle a des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Microsoft Defender ATP, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Accès initial, Persistance

Techniques : Clés Run du registre / Dossier de démarrage (T1060), Liens de spearphishing (T1192)

 

Explorez plus de règles sur le Threat Detection Marketplace publié par Osman Demir


Prêt à essayer SOC Prime TDM? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités