São Paulo, Brasil – Mekotio é um malware que visa roubar informações financeiras, principalmente credenciais para acessar contas bancárias ou dados de cartão de crédito. Detectado pela primeira vez em 2015, ele continua ativo em 2023 em vários países da América Latina. Em seguida, a ESET, empresa líder em detecção proativa de ameaças, analisa uma campanha recente que tentou infectar vítimas.
Até agora, em 2023, mais de 70 variantes deste trojan foram detectadas. Na América Latina a Argentina (52%) é o país com mais atividade deste Mekotio, seguido pelo México (17%), Peru (12%), Chile (10%) e Brasil (3%).
O Mekotio faz parte da lista de trojans bancários da América Latina, uma família de programas maliciosos que têm a capacidade de realizar diferentes ações, e se destacam por se passar por bancos por meio de pop-ups falsos. Dessa forma, eles realizam o roubo de informações sigilosas das vítimas. Em 2021, as forças de segurança espanholas prenderam 16 pessoas ligadas aos trojans bancários Mekotio e Grandoreiro, acredita-se que os seus desenvolvedores colaboraram com outros grupos cibercriminosos, o que explica por que esse malware ainda está tão ativo.
Detecções de Mekotio na América Latina (2023).
Além dos países latinoamericanos, Espanha, Itália e Ucrânia também registraram detecções dessa ameaça, o que mostra que as campanhas seguem em expansão.
Recentemente, a ESET analisou uma campanha que distribui Mekotio por meio de e-mails (malspam), que usam como isca a emissão de uma suposta fatura e se passam pela identidade de uma multinacional do México. O corpo do email contém a instrução para abrir em um computador Windows, o que provavelmente está relacionado ao malware ter como alvo este sistema operacional.
E-mail que chegou a uma pessoa no México contendo um link baixando o malware Mekotio
A mensagem inclui um link que, se clicado, baixa um arquivo compactado (ID-FACT. 1684803774. zip) que finge ser a suposta fatura, mas quando descompactado é extraído um arquivo de instalação do Windows (MSI) . Esse arquivo contém vários itens incluídos nele, está um arquivo DLL contendo uma variante do malware, que é detectado por soluções de segurança ESET.
"Além de roubar informações financeiras, o Mekotio é um Trojan capaz de realizar outras ações maliciosas no computador comprometido. Por exemplo, ele é capaz de coletar informações como o sistema operacional em execução no computador da vítima, soluções antifraude ou antimalware instaladas. Além disso, o malware tenta ficar oculto no computador infectado usando chaves de registro de inicialização e oferece aos invasores recursos típicos de backdoor", conclui Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse este link.