ESET Araştırmacıları Yeni Bir Truva Atı Keşfetti

Bankaları hedef alan Mekotio truva atı güvenlik güncellemesini taklit ediyor, bitcoin çalıyor ve google bilgilerini sızdırıyor

Bitcoin çalan truva atına dikkat

ESET araştırmacıları Brezilya, Şili, Meksika, İspanya, Peru ve Portekiz başta olmak üzere İspanyolca ve Portekizce konuşan ülkeleri hedef alan Mekotio adında bir truva atı keşfettiler.

Mekotio ekran görüntüleri almak, etkilenen makineleri yeniden başlatmak, yasal bankacılık web sitelerine erişimi engellemek ve hatta bazı varyantlarda bitcoin çalmak ve Google Chrome tarayıcı tarafından kaydedilen bilgileri sızdırmak da dahil olmak üzere çeşitli tipik arka kapı etkinliklerini arttırıyor.

2015 yılından beri faal durumda olan Mekotio truva atı ESET’in araştırdığı diğer bankacılık truva atları gibi Delphi’de yazılmış olma, sahte açılır pencereler kullanma ve arka kapı işlevselliği içerme gibi bu tip kötü amaçlı yazılımların ortak özelliklerini barındırıyor. Daha az şüpheli görünmek adına Mekotio belli bir mesaj kutusu kullanarak bir güvenlik güncellemesini taklit etmeye çalışıyor.

Mekotio truva atının kurbanlarında erişim sağlayabileceği birçok teknik ayrıntı söz konusu. Bu teknik ayrıntılar güvenlik duvarı yapılandırmaları, yönetici ayrıcalıkları, Windows işletim sistemi sürümü hakkında bilgileri ve dolandırıcılığa karşı kurulan ürünlerin ve kötü amaçlı yazılımlara karşı çözümlerin listesini içeriyor. Hatta bir komut, C:\Windows ağacındaki tüm dosyaları ve klasörleri kaldırmaya çalışarak kurbanın makinesini çökertmeyi bile deniyor.

Mekotio spam yoluyla dağılıyor

Kötü amaçlı yazılım, genel olarak spam yoluyla dağıtılıyor. 2018’den beri ESET araştırmacıları bu aile tarafından kullanılan 38 farklı dağıtım zinciri gözlemledi. Bu zincirlerin çoğu birkaç aşamayı içeriyor ve bankaları hedef alan Latin Amerikan truva atlarının bilinen davranışı olarak bir ZIP arşivi indiriyor.

Özellikleri sıklıkla değiştiğinden karmaşık bir gelişim yolu izliyor

Mekotio’ya odaklanan araştırma ekibini yöneten ESET araştırmacısı Robert Šuman şu bilgileri paylaştı. “Araştırmacılar için bu kötü amaçlı yazılım ailesinin en yeni varyantlarının kayda değer en önemli özelliği, bir komut ve kontrol sunucusu olarak SQL veri tabanı kullanması ve birincil yürütme yöntemi olarak yasal AutoIt yorumlayıcıyı nasıl suistimal ettiğidir. Mekotio, özelliklerinin sıklıkla değişmesiyle oldukça karmaşık bir gelişim yolu izliyor. Dahili versiyonlamasına dayanarak birden çok varyantının aynı anda geliştiğine inanıyoruz.”