Il trojan bancario Mekotio imita gli avvisi di aggiornamento per rubare Bitcoin

Il trojan bancario Mekotio imita gli avvisi di aggiornamento per rubare Bitcoin

Un versatile trojan bancario rivolto agli utenti in America Latina è circolato in più paesi, tra cui Messico, Brasile, Cile, Spagna, Perù e Portogallo.

Il malware garantisce la persistenza sui sistemi infetti e dispone di funzionalità avanzate come l'inserimento di backdoor, il furto di bitcoin e l'estrazione di credenziali.

Soprannominato Mekotio, il trojan raccoglie informazioni sensibili dagli host vittima, come la configurazione del firewall, le informazioni sul sistema operativo, se i privilegi di amministratore sono abilitati e lo stato di eventuali prodotti antivirus installati. 

False popup di aggiornamento del sito

Un comportamento specifico di Mekotio è l'utilizzo di popup di sistema che impersonano gli aggiornamenti di sistema.

Il popup di Windows mostrato di seguito contiene un falso messaggio in portoghese che avvisa l'utente: "Stiamo attualmente eseguendo aggiornamenti di sicurezza sul sito! Riprova più tardi!"

"Mekotio ha diverse tipiche funzionalità backdoor. Può acquisire schermate, manipolare finestre, simulare azioni di mouse e tastiera, riavviare la macchina, limitare l'accesso a vari siti Web bancari e aggiornarsi", spiega un rapporto pubblicato da ESET questa settimana.

Alcune varianti del trojan possono anche dirottare la criptovaluta sostituendo un indirizzo di portafoglio Bitcoin negli appunti e ottenendo le password salvate dal browser web Chrome.

Trojan distribuito tramite phishing

Le ricerche di ESET hanno affermato che lo spam di phishing sembra essere il modo principale di distribuzione sfruttato dai creatori di Mekotio.

L'e-mail finge di contenere una ricevuta ma ha collegamenti che scaricano un file ZIP dannoso associato a questo malware.

È noto che il trojan circola almeno dal 2015. Dal 2018, i ricercatori hanno osservato 38 diverse catene di distribuzione utilizzate da Mekotio e filoni simili.

Meccanica d'attacco

In uno degli scenari di attacco, il malware "passa il contesto" tra i diversi processi per eludere il rilevamento e le analisi.

Inizialmente, un semplice dropper BAT avvia un downloader VBScript con parametri contenenti un verbo HTTP e l'URL di un altro downloader.

Questo downloader intermedio chiama ancora un altro URL per ottenere ed eseguire uno script PowerShell che recupera ulteriormente il downloader con il payload dannoso. 

Vale la pena notare che un'intestazione e un metodo HTTP "User-Agent" (verbo HTTP) personalizzati vengono utilizzati da questi downloader per recuperare i downloader della fase successiva.

Questa è una tattica intelligente in quanto qualcuno che accede direttamente all'URL, ad esempio da un browser web, invierebbe intestazioni "User-Agent" molto diverse e probabilmente utilizzerebbe il metodo "GET" predefinito, al contrario del verbo HTTP "111SA" personalizzato previsto dal server C&C.

Questo passaggio costante di contesto tra i processi aiuta il trojan a mascherare i suoi passi. Ad esempio, anche se uno degli indicatori di compromesso (IoC) dovesse essere catturato nelle fasi iniziali da un prodotto antivirus, gli URL e i downloader rimanenti rimarrebbero nascosti agli occhi dei ricercatori e degli strumenti di rilevamento.

Un altro scenario utilizzato da Mekotio consiste nel nascondere JavaScript in un pacchetto MSI.

"In questo caso, la catena è molto più breve e meno robusta, poiché solo un singolo JavaScript, che funge da fase finale, è incorporato nell'MSI ed eseguito", spiega il rapporto.

I file binari Mekotio utilizzano lo stesso algoritmo crittografico della famiglia Casbaneiro quando crittografa le stringhe. Nel caso di Mekotio, tuttavia, la variazione sta nel modo in cui i dati vengono modificati prima della loro decrittazione.

I ricercatori hanno affermato che "i primi pochi byte della chiave di decrittazione hardcoded potrebbero essere ignorati, così come alcuni byte della stringa crittografata. Alcune varianti codificano ulteriormente le stringhe crittografate con base64".

I molti casi d'uso del trojan si estendono anche per includere il giocherellare dei valori di registro.

Disabilitando vari valori di registro come "HKCU \ Software \ Microsoft \ windows \ CurrentVersion \ Explorer \ AutoComplete \" il trojan disattiva la funzione di "completamento automatico" nei browser web, costringendo così le vittime a digitare nuovamente le loro password, che il trojan intercetterebbe .

C&C Server ha riferimenti criptici al database SQL

I server di comando e controllo (C&C) utilizzati da Mekotio sono basati sul progetto open source Delphi Remote Access per PC o utilizzano un database SQL che memorizza i comandi C&C.

Per nascondere i dettagli dello schema SQL, Mekotio non dispone di stringhe di query SQL definitive hardcoded (ad esempio "SELECT * FROM table WHERE ..."). Invece, chiama semplicemente specifiche procedure SQL memorizzate sul lato server.

Inoltre, i mezzi per stabilire una connessione al DB SQL sono criptici. 

Invece di avere domini e indirizzi IP specifici codificati nei binari, Mekotio si basa su due elenchi: uno con "domini falsi" e un altro con numeri di porta. 

Un misterioso algoritmo esegue quindi operazioni aritmetiche per generare dinamicamente gli indirizzi di dominio C&C reali .

"Un dominio casuale viene scelto da entrambi gli elenchi e risolto. L'indirizzo IP viene ulteriormente modificato. Quando si genera il dominio C&C, viene sottratto un numero hardcoded dall'ultimo ottetto dell'indirizzo IP risolto. Quando si genera la porta C&C, gli ottetti vengono uniti insieme e trattati come un numero ", spiegano i ricercatori di ESET.

Ciò rende più difficile identificare i domini dannosi durante l'analisi statica.

Diversi approcci integrati nel trojan generano anche domini basati su algoritmi complessi. Ad esempio, la generazione di un hash MD5 dell'ora locale, del fuso orario della vittima, della data corrente, ecc.

I ricercatori di ESET sospettano che ci siano più varianti di Mekotio sviluppate contemporaneamente. Hanno descritto il ciclo di vita di sviluppo di questo malware "piuttosto caotico", proprio come altri trojan bancari latinoamericani.

Un trojan bancario persistente, così complesso con un gran numero di varianti, pone maggiori sfide per i professionisti della sicurezza e apre più possibilità per la sua prossima iterazione.

L'analisi dettagliata di Mekotio, insieme all'elenco completo degli IoC che utilizza, sono stati identificati e forniti nel rapporto di ESET.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.