TOOLinux

Le journal du Libre

Mekotio : un troyen bancaire particulièrement dangereux

lundi 17 août 2020

Le troyen bancaire Mekotio falsifie une mise à jour de sécurité, vole des bitcoins et exfiltre les informations d’identification Google dans le navigateur Chrome. Prudence.

Des chercheurs en sécurité de l’éditeur ESET ont exploré Mekotio, un troyen bancaire originaire d’Amérique du Sud ciblant les pays de langue espagnole et portugaise. Le malware est principalement distribué via spam.

Mekotio a diverses activités typiques de porte dérobée, parmi lesquelles la captures d’écran, le redémarrage des machines affectées, la restriction d’accès aux sites Web bancaires légitimes et, dans certaines variantes, le vol de bitcoins et l’exfiltration d’informations d’identification stockées par le navigateur Google Chrome.

Mekotio est actif depuis au moins 2015 et partage des caractéristiques communes pour ce type de malware telles que l’écriture en Delphi, l’usage de fausses fenêtres pop-up et contient également des fonctionnalités de porte dérobée.

Afin de paraître moins suspect, Mekotio essaie de se faire passer pour une mise à jour de sécurité en utilisant une boîte à message spécifique, mais cette partie ne concerne... que les systèmes Windows. Ni Linux ni macOS ne seraient exposés.

« Pour nos chercheurs, la caractéristique la plus remarquées des dernières variantes de cette famille de malware est son utilisation d’une base de données SQL en tant que serveur C&C et la façon dont elle abuse de l’interprète légitime AutoIt comme principale méthode d’exécution », explique Robert Šuman, le chercheur d’ESET qui dirige l’équipe travaillant sur Mekotio. « Le chemin de développement suivi par Mekotio est plutôt chaotique, ses fonctionnalités ont été très souvent modifiées. Sur base de sa gestion des versions internes, ESET pense que plusieurs variantes sont développées simultanément. »

Source : WeLoveSecurity