Malware bancário Mekotio retorna por meio de grupos criminosos do Brasil

Uma pesquisa da Check Point Software detectou e bloqueou mais de 100 ataques cibernéticos direcionados a países latino-americanos, nas últimas semanas, que utilizam uma forma evoluída de um cavalo de Troia bancário chamado Mekotio.

• "Golpe do Presente" rouba foto da vítima para fraudar reconhecimento facial
• EUA alertam para aumento de casos de ransomware contra grandes negócios
• Descoberta permite que criminosos injetem falhas em código-fonte de programas

O Mekotio, um cavalo de Troia bancário modular focado em Windows e destinado aos países da América Latina, reapareceu recentemente com novos ataques. A nova campanha começou logo após a Guarda Civil espanhola anunciar a prisão de 16 pessoas acusadas de estarem envolvidas na distribuição do Mekotio em julho de 2021. Esse malware, na época, era distribuído através de falsas campanhas de vacinação contra a covid-19.

Durante os meses de agosto, setembro e outubro de 2021, a pesquisa identificou cerca de 100 ataques do Mekotio, usando novas técnicas de ocultação simples, com a ajuda de criptografia substituta, para ocultar o primeiro vetor da infecção. Essa nova técnica permite que o cavalo de Troia não seja detectado pela maioria das soluções antivírus.

Segundo a pesquisa da Check Point Software, o Brasil, Chile, México, a Espanha e o Peru são os principais alvos desta nova campanha. Os pesquisadores assumem que os responsáveis pela leva atual de ataques estejam no Brasil, e estão distribuindo a ameaça em conjunto com grupos de criminosos espanhóis que não foram afetados pela prisão dos 16 acusados.

Funcionamento e proteção

A ameaça é distribuída por meio um e-mail de phishing, escrito em espanhol, que tem, em anexo, um arquivo compactado. O texto da mensagem estimula o recipiente a baixar e extrair o conteúdo, além de pedir o envio de um "recibo fiscal digital pendente de envio". Ao abrir o anexo, a infecção tem início.

Depois da infecção, o cavalo de Troia bancário permanece oculto, esperando que os usuários entrem em contas de bancos digitais para roubar as credenciais de acesso.

"Nós recomendamos fortemente que as pessoas localizadas nas regiões onde o Mekotio é mais atuante usem a autenticação de dois fatores sempre que possível, além de tomarem cuidado erros de ortografia em e-mails ou sites e remetentes desconhecidos de mensagens", alerta Kobi Eisenkraft, líder da equipe de pesquisa e proteção de malware da Check Point Software. Além da autenticação, os seguintes passos são recomendados:

• Ter cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos;
• Ter atenção com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que o usuário normalmente não faria;
• Certificar-se de solicitar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, pesquisar no Google ou em outro mecanismo de busca, a loja ou o estabelecimento desejado e clicar no link da página de resultados do buscador;
• Ter cuidado com as ofertas "especiais" que não parecem ser oportunidades de compra confiáveis;
• Certificar-se de não reutilizar senhas entre diferentes aplicativos e contas;