Mekotioは、さらにもう1つの ラテンアメリカのバンキングトロイの木馬であり、 ブラジル、メキシコ、スペイン、チリ、ペルー、ポルトガルのユーザーを主なターゲットとしています。これはフィッシングメールを介して配布される持続的なマルウェアであり、LNKファイルをスタートアップフォルダーに作成するか、Runキーを使用して持続性を確保します。このトロイの木馬は、ターゲットユーザーから暗号通貨を盗み、スクリーンショットを撮り、感染したシステムを再起動し、正規のバンキングサイトへのアクセスを制限し、Google Chromeから資格情報を盗む能力があります。また、バンキングトロイの木馬は、ユーザーのシステム設定、Windows OSに関する情報、ファイアウォール設定、インストール済みアンチウイルスソリューションのリストにアクセスできます。
Mekotioバンキングトロイの木馬は、システムファイルやフォルダーを削除して単純なワイパーとして動作することができます。 このマルウェアファミリーの最新の変種の 最も注目すべき特徴は、SQLデータベースをC&Cサーバーとして使用することです。Mekotioが使用するC&Cサーバーは、オープンソースのDelphi Remote Access PCプロジェクトに基づいているか、C&Cコマンドを格納するSQLデータベースを使用しています。Mekotioは、サーバー側に格納されている特定のSQLプロシージャをバイナリにハードコードされた資格情報を使用して呼び出します。
オスマン・デミル がトロイの木馬のインストールとその持続化メカニズムを検出するための新しいコミュニティSigmaルールを公開しました
このルールには、以下のプラットフォーム用の翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint
MITRE ATT&CK:
戦術: 初期アクセス、持続性
技術: レジストリ付属鍵 / スタートアップフォルダー (T1060), スピアフィッシングリンク (T1192)
Threat Detection Marketplaceでさらに多くのルールを探索する オスマン・デミルが発行
SOC Prime TDMを試してみますか? 無料で登録。または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティで共有しましょう。
