Mais um trojan foi descoberto fazendo vítimas pela América Latina. O Mekotio é de uma família de cavalos de Troia bancários que tem como alvo os sistemas Windows e visa obter dinheiro ou credenciais de acesso do serviço de banco digital de usuários. Em uma análise, a ESET, empresa líder em detecção proativa de ameaças, detectou que o malware já atingiu mais de 51 instituições bancárias.

Na América Latina, o Chile é o país que registra o maior número de ataques, seguido pelo Brasil e pelo México, a nível médio, e depois pelo Peru, Colômbia, Argentina, Equador e Bolívia, em baixo nível. O restante dos países latino-americanos não apresentaram níveis relevante de detecção, de acordo com a pesquisa.

\"É importante destacar que um número baixo de detecções não implica que a ameaça não esteja presente em outros países da América Latina. Por sua vez, deve-se entender que, se os invasores considerarem lucrativo, poderá haver novas campanhas direcionadas para países que, até o momento, não possuem detecções, como a Espanha”, afirma Daniel Kundro, analista de malware da ESET América Latina.

O processo de infecção começa com uma campanha de spam. No geral, os e-mails enviados usam engenharia social para simular mensagens legítimas e personificar a identidade de empresas ou agências governamentais, a fim de enganar o usuário e fazê-lo clicar no link malicioso.

A estratégia usada para enganar a vítima em potencial é um e-mail que parece vir de uma entidade governamental na qual um recibo de pagamento de imposto é enviado. O objetivo é despertar a curiosidade do usuário, pois se ele efetuou o pagamento de um imposto, é provável que queira guardar o recibo. Caso a pessoa não tenha realizado a ação, pode haver um erro de coleta e, assim, surgir o interesse em aprender mais sobre o assunto. Nos dois casos, se o usuário abrir o link para baixar o suposto recebimento, o processo de infecção já foi iniciado.

Os estágios envolvidos em um dos processos de infecção usados ​​por Mekotio estão detalhados abaixo:

Por se tratar de uma ameaça sustentada ao longo do tempo e presente em vários países, por meio de versões específicas direcionadas a cada um deles, é normal encontrar alguma variabilidade nas atividades maliciosas realizadas pelas diferentes amostras analisadas. No entanto, existe um fator comum entre todos: eles procuram roubar dinheiro e/ou credenciais bancárias. Os principais comportamentos maliciosos observados pela ESET nas amostras analisadas são:

Roubo de credenciais bancárias com janelas falsas: essa ameaça monitora os sites acessados ​​pelo navegador. Caso você tenha entrado no site de qualquer um dos bancos de interesse dos criminosos, o malware exibirá uma janela de login falsa que finge ser da instituição bancária. O objetivo é que o usuário insira suas credenciais de acesso ao sistema. Uma vez obtidos, eles são enviados para um servidor remoto dedicado ao armazenamento das informações roubadas.

Roubo de senhas armazenadas por navegadores da web: algumas variantes do Mekotio têm a capacidade de roubar credenciais de acesso armazenadas pelo Google Chrome e Opera. Na maioria das vezes, ao tentar acessar um site usando um formulário de login, o navegador pergunta ao usuário se ele deseja salvar a senha no computador e, se autorizado, continua fazendo isso. Além da senha, o usuário e o site associado à conta que acabou de ser inserida também são armazenados. Essa funcionalidade maliciosa não se limita apenas ao roubo de credenciais bancárias, mas também afeta todas as contas cujos dados também foram armazenados no sistema por esses navegadores.

Substituindo endereços de carteira bitcoin: consiste em substituir os endereços da carteira bitcoin copiados para a área de transferência pelo endereço da carteira do atacante. Dessa forma, se um usuário infectado quiser fazer uma transferência ou um depósito para um determinado endereço e usar o comando copy (clicar com o botão direito do mouse em copiar/ctrl + c) em vez de digitar, ao querer colar (clicar com o botão direito em colar/ctrl + v), o endereço para o qual a transferência foi feita não será colado, mas o endereço do atacante. Se o usuário não perceber essa diferença e decidir continuar a operação, acabará enviando o dinheiro para o atacante.

A ESET recomenda a aplicação de boas práticas e critérios de segurança, para evitar ser vítima do Mekotio. Alguns dos mais importantes, em relação direta a essa ameaça, são:

- Não abrir links contidos em e-mails de spam;
- Não fazer o download de anexos em e-mails de spam;
- Caso um arquivo comece a baixar automaticamente, não abrir;
- Ter cuidado ao baixar e extrair arquivos .zip ou .rar compactados de fontes não confiáveis, pois costumam ser usados ​​para ocultar malware e ignorar certos mecanismos de segurança;
- Ser cauteloso ao baixar ou executar instaladores .msi ou executáveis ​​.exe, verificando sua legitimidade e submetendo-os à análise de um produto de segurança;
- Ter uma solução de segurança atualizada.
- Manter o software do equipamento atualizado.

“Em cada um dos pontos mencionados, o objetivo é cortar algumas das etapas do processo de infecção e instalação. Se for bem-sucedido, o Mekotio não será executado. Na ESET, apostamos na educação e conscientização como o principal elemento de proteção. Depois de conhecer os riscos, podemos evitá-los, tomando as medidas necessárias e aproveitando a tecnologia com segurança”, conclui Kundro.