Mekotio Banking特洛伊木马以新的攻击和隐身技术重新出现

Mekotio banking特洛伊木马背后的运营商因其感染流的变化而重新浮出水面，以便在过去三个月内发动近100次攻击，同时不受监视并躲避安全软件。

“主要特征之一[…；]Check Point Research的研究人员在与《黑客新闻》分享的一份报告中说：“这是一种模块化的攻击，使攻击者能够只改变整体的一小部分，以避免被发现。”最近一波攻击据说主要针对巴西、智利、墨西哥、秘鲁和西班牙的受害者。

在西班牙执法机构于2021年7月逮捕了16名属于犯罪网络的个人，这与经营MekoTio和另一个叫做Grandoreiro的银行恶意软件有关，这是针对欧洲金融机构的社会工程活动的一部分。

Mekotio恶意软件的进化版本旨在通过攻击链危害Windows系统，攻击链从伪装成待处理税务收据的钓鱼电子邮件开始，并包含指向ZIP文件或ZIP文件的链接作为附件。单击open the ZIP archive会触发批处理脚本的执行，该批处理脚本会运行PowerShell脚本以下载第二阶段ZIP文件。

这个辅助ZIP文件包含三个不同的文件—；一个自动热键（AHK）解释器、一个AHK脚本和Mekotio DLL负载。前面提到的PowerShell脚本随后调用AHK解释器来执行AHK脚本，该脚本运行DLL负载，从网上银行门户窃取密码，并将结果过滤回远程服务器。

恶意模块的特点是使用简单的模糊技术，如替换密码，从而提高了恶意软件的隐藏能力，并使其不被大多数防病毒解决方案发现。

Check Point的Kobi Eisenkraft表示：“湄公河银行的银行家窃取用户名和密码，以进入金融机构，这是一个非常现实的危险。”。“因此，逮捕行动阻止了西班牙帮派的活动，但没有阻止Mekotio背后的主要网络犯罪集团。”

强烈建议拉丁美洲的用户使用双因素身份验证来保护其帐户免受接管攻击，并注意相似的域名、电子邮件或网站中的拼写错误，以及来自不熟悉发件人的电子邮件。