Mekotio: Hochgezüchteter Banking-Trojaner bedroht Lateinamerika

Spanischsprachige E-Banking-Nutzer werden von Mekotio angegriffen

[datensicherheit.de, 10.11.2021] Laut einer aktuellen Stellungnahme von Check Point greift derzeit eine hochgezüchtete, raffinierte Malware spanischsprachige E-Banking-Nutzer erneut an. Das Interessanteste an diesem Schädling sei seine Technik und Hartnäckigkeit, welche sich auf andere Volksgruppen übertragen ließen. Im Juli 2021 hatte die spanische Polizei demnach 16 verdächtige Personen wegen Geldwäsche im Zusammenhang mit dieser Malware gefasst – nun attackiere sie spanischsprachige Länder. Urheber der neuen Version scheine eine brasilianische Verbrecherbande zu sein. Check Point hat nach eigenen Angaben bereits über 100 Attacken blockiert.

Abbildung: Check Point Research

Check Point Research beschreibt den Angriffsweg des Banking-Trojaners Mekotio

Mekotio-Attacke beginnt mit Spoofing-E-Mail unter falschem Markennamen

Nach Erkenntnissen von „Check Point Research“ (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., beginnt die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen, welche unter dem Betreff „digital tax receipt pending submission“ laufe – also einer fingierten digitalen Zahlungsaufforderung mit benötigter Freigabe.
Die Sicherheitsforscher vermuten „eine Gruppe brasilianischer – eigentlich damit portugiesisch-sprachiger – Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware außerdem an andere Gruppen – ein mittlerweile gängiges Modell auf dem Schwarzmarkt“. Bislang seien vor allem Bürger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.

Mekotio-Attacken gegen Windows-Rechner

„Mekotio“ richte sich gegen „Windows“-Rechner und bleibe nach dem Einbruch vorerst versteckt und weiche Viren-Scannern aus, „bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto über das Internet anmeldet“. In diesem Moment stehle die Malware dessen Zugangsinformationen. Die neue Version sei in diesen Fähigkeiten gestärkt worden.
Eingang finde die Malware über eine spanische Phishing-Nachricht, „wie zuvor beschrieben, die einen Link zu einem verseuchten zip-Archiv enthält oder eines anhängen hat“. Wird dieses heruntergeladen und entpackt, nehme „Mekotio“ heimlich seine Arbeit auf.

Mekotio-Vorgehen kaum von Sicherheitslösungen erkannt

Dieses Vorgehen sei ein interessanter Trick, weswegen diese Malware kaum von Sicherheitslösungen erkannt werde: „Sie verwendet eine veraltete Verschlüsselung namens ,substitution cipher‘, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen.“ Auf der anderen Seite nutzten die Entwickler eine neue, kommerziell vertriebene Software namens „Themida“, um die Nutzlast des Schadprogrammes sehr ausgefeilt zu verschlüsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.
Die Sicherheitsforscher mahnen die Bürger der betroffenen Länder zu besonderer Vorsicht wegen der E-Mails und raten zur „Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird“.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 03.11.2021
Mekotio Banker Returns with Improved Stealth and Ancient Encryption / Research by: Arie Olshtein & Abedalla Hadra