ESET araştırmacıları Brezilya, Şili, Meksika, İspanya, Peru ve Portekiz başta olmak üzere İspanyolca ve Portekizce konuşan ülkeleri hedef alan Mekotio adında bir truva atı keşfettiler.
Mekotio ekran görüntüleri almak, etkilenen makineleri
yeniden başlatmak, yasal bankacılık web sitelerine erişimi engellemek ve
hatta bazı varyantlarda bitcoin çalmak ve Google Chrome tarayıcı
tarafından kaydedilen bilgileri sızdırmak da dahil olmak üzere çeşitli
tipik arka kapı etkinliklerini arttırıyor.
2015 yılından beri faal durumda olan Mekotio truva atı
ESET’in araştırdığı diğer bankacılık truva atları gibi Delphi’de
yazılmış olma, sahte açılır pencereler kullanma ve arka kapı
işlevselliği içerme gibi bu tip kötü amaçlı yazılımların ortak
özelliklerini barındırıyor.
Daha az şüpheli görünmek adına Mekotio belli
bir mesaj kutusu kullanarak bir güvenlik güncellemesini taklit etmeye
çalışıyor.
Mekotio truva atının kurbanlarında erişim sağlayabileceği birçok
teknik ayrıntı söz konusu. Bu teknik ayrıntılar güvenlik duvarı
yapılandırmaları, yönetici ayrıcalıkları, Windows işletim sistemi sürümü
hakkında bilgileri ve dolandırıcılığa karşı kurulan ürünlerin ve kötü
amaçlı yazılımlara karşı çözümlerin listesini içeriyor.
Hatta bir komut,
C:\Windows ağacındaki tüm dosyaları ve klasörleri kaldırmaya çalışarak
kurbanın makinesini çökertmeyi bile deniyor.
Mekotio spam yoluyla dağılıyor
Kötü amaçlı yazılım, genel olarak spam yoluyla dağıtılıyor.
2018’den beri ESET araştırmacıları bu aile tarafından kullanılan 38
farklı dağıtım zinciri gözlemledi.
Bu zincirlerin çoğu birkaç aşamayı
içeriyor ve bankaları hedef alan Latin Amerikan truva atlarının bilinen
davranışı olarak bir ZIP arşivi indiriyor.
Özellikleri sıklıkla değiştiğinden karmaşık bir gelişim yolu izliyor
Mekotio’ya odaklanan araştırma ekibini yöneten ESET araştırmacısı
Robert Šuman şu bilgileri paylaştı. “Araştırmacılar için bu kötü amaçlı
yazılım ailesinin en yeni varyantlarının kayda değer en önemli
özelliği, bir komut ve kontrol sunucusu olarak SQL veri tabanı
kullanması ve birincil yürütme yöntemi olarak yasal AutoIt yorumlayıcıyı
nasıl suistimal ettiğidir.
Mekotio, özelliklerinin sıklıkla
değişmesiyle oldukça karmaşık bir gelişim yolu izliyor. Dahili
versiyonlamasına dayanarak birden çok varyantının aynı anda geliştiğine
inanıyoruz.”
