Компания ESET сообщает об обнаружении новых подробностей активности банковского трояна Mekotio. В частности, специалисты ESET обнаружили, что троян имеет типичные для бэкдора функции — создание скриншотов, перезапуск инфицированных устройств, ограничение доступа к легитимным банковским веб-сайтам, а иногда и кражи учетных данных из Google Chrome и биткоинов. Угроза нацелена на испано- и португалоязычные страны Европы и Латинской Америки.

Mekotio работает по крайней мере с 2015 года и как и другие банковские трояны, имеет типичные для этого типа вредоносного программного обеспечения характеристики: написан на языке программирования Delphi, использует поддельные всплывающие окна и имеет функционал бэкдора. Чтобы банковский троян выглядел менее подозрительно, разработчики пытались выдать его за обновление безопасности с помощью определенного окна с сообщением.

Вредоносное программное обеспечение Mekotio может получить доступ ко многим техническим подробностям об устройствах жертв, включая информацию о конфигурации брандмауэра, правах администратора, версии ОС Windows, а также списку установленных антивирусных решений и продуктов для противодействия мошенничеству. Одна из команд Mekotio даже пытается сломать устройство жертвы путем удаления всех файлов и папок из дерева C:\Windows.

«Для исследователей наиболее заметной особенностью новых вариантов этого семейства вредоносных программ является использование базы данных SQL как командного сервера (C&C). Кроме этого, необычным является то, что семейство злоупотребляет легитимным интерпретатором AutoIt как основным методом выполнения», — объясняет Роберт Шуман, исследователь ESET.

Распространяется банковский троян преимущественно через спам. Начиная с 2018 года, исследователи ESET обнаружили 38 различных цепей распространения, которыми пользуется это семейство вредоносных программ. Большинство цепей состоят из нескольких этапов и заканчиваются загрузкой ZIP-архива — такое поведение является типичным для латиноамериканских банковских троянов.

«Mekotio развивается достаточно хаотично, его особенности очень часто меняются. На основе своих внутренних исследований мы пришли к выводу, что существует несколько вариантов угрозы, которые разрабатываются одновременно», — добавляет Роберт Шуман.