Mekotio é mais um trojan bancário da América Latina que tem como alvo principalmente usuários no Brasil, México, Espanha, Chile, Peru e Portugal. Este é um malware persistente distribuído via e-mails de phishing e garante persistência criando um arquivo LNK na pasta de inicialização ou usando uma chave Run. É capaz de roubar criptomoedas de um usuário alvo, tirar screenshots, reiniciar sistemas infectados, restringir acesso a sites bancários legítimos e roubar credenciais do Google Chrome. Além disso, o trojan bancário pode acessar as configurações do sistema do usuário, informações sobre o sistema operacional Windows, configuração do firewall, lista de soluções antivírus instaladas.
O trojan bancário Mekotio pode atuar como um wiper simples ao excluir arquivos e pastas do sistema. O recurso mais notável das variantes mais recentes desta família de malwares é o uso de um banco de dados SQL como servidor C&C. Os servidores C&C usados pelo Mekotio são baseados no projeto open-source Delphi Remote Access PC ou utilizam um banco de dados SQL para armazenar comandos C&C. Mekotio chama procedimentos SQL específicos armazenados no lado do servidor usando as credenciais codificadas no binário.
Osman Demir lançou uma nova regra Sigma para a comunidade, para detectar a instalação do trojan e seus mecanismos de persistência
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial, Persistência
Técnicas: Chaves de Registro Run / Pasta de Inicialização (T1060), Link de Spearphishing (T1192)
Explore mais Regras no Threat Detection Marketplace publicado por Osman Demir
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
