Contenuto di Rilevazione: Trojan Bancario Mekotio

Mekotio è un altro trojan bancario dell’America Latina che è mirato principalmente a utenti in Brasile, Messico, Spagna, Cile, Perù e Portogallo. Questo è un malware persistente distribuito tramite email di phishing e assicura la persistenza sia creando un file LNK nella cartella di avvio sia utilizzando una chiave Run. È capace di rubare criptovaluta da un utente mirato, scattare screenshot, riavviare i sistemi infetti, limitare l’accesso a siti web bancari legittimi e rubare credenziali da Google Chrome. Inoltre, il trojan bancario può accedere alle impostazioni del sistema dell’utente, informazioni sul sistema operativo Windows, la configurazione del firewall, l’elenco delle soluzioni antivirus installate.

Il trojan bancario Mekotio può agire come un semplice wiper cancellando file e cartelle di sistema. La caratteristica più notevole delle varianti più recenti di questa famiglia di malware è l’uso di un database SQL come server C&C. I server C&C utilizzati da Mekotio si basano sul progetto open-source Delphi Remote Access PC o utilizzano un database SQL per memorizzare i comandi C&C. Mekotio chiama procedure SQL specifiche memorizzate sul server usando le credenziali codificate nel binario.

Osman Demir ha rilasciato una nuova regola Sigma di comunità per rilevare l’installazione del trojan e i suoi meccanismi di persistenza.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Accesso Iniziale, Persistenza

Tecniche: Chiavi Run del Registro / Cartella di Avvio (T1060), Spearphishing Link (T1192)

Esplora più regole al Threat Detection Marketplace pubblicato da Osman Demir

Pronto per provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità TDM.