Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Recherche ESET : le cheval de Troie bancaire Mekotio simule des mises à jour de sécurité, vole des bitcoins et exfiltre des identifiants Google

août 2020 par ESET

Les chercheurs d’ESET se sont penchés une fois de plus sur les célèbres chevaux de Troie bancaires latino-américains. Ils ont cette fois-ci étudié Mekotio, un cheval de Troie bancaire ciblant les pays hispanophones et lusophones : principalement le Brésil, le Chili, le Mexique, l’Espagne, le Pérou et le Portugal. Mekotio se vante de ses activités typiques d’une porte dérobée, notamment la prise de captures d’écran, le redémarrage des machines affectées, la restriction de l’accès aux sites web bancaires légitimes et, dans certaines variantes, le vol de bitcoins et l’exfiltration des identifiants stockés dans le navigateur Google Chrome.

Mekotio est actif depuis au moins 2015 et, comme d’autres chevaux de Troie bancaires sur lesquels ESET a enquêté, il partage des caractéristiques communes pour ce type de malwares, notamment sa programmation en Delphi, l’utilisation de fausses fenêtres pop-ups et des fonctionnalités de porte dérobée. Pour paraître moins suspect, Mekotio tente de se faire passer pour une mise à jour de sécurité à l’aide d’une boîte de dialogue spécifique.

Mekotio est en mesure d’accéder à de nombreuses informations sur ses victimes, notamment la configuration du pare-feu, les privilèges administrateur, la version du système d’exploitation Windows, ainsi qu’une liste des produits antifraudes et antimalwares installés. Une commande tente même de paralyser la machine de la victime en essayant de supprimer tous les fichiers et dossiers de l’arborescence C :\Windows.

« Pour les chercheurs, la caractéristique la plus notable des dernières variantes de cette famille de malwares est leur utilisation d’une base de données SQL comme serveur de commande et de contrôle, et la façon dont elles détournent l’interpréteur AutoIt légitime comme principale méthode pour s’exécuter, » explique Robert Šuman, le chercheur d’ESET qui dirige l’équipe de recherche de Mekotio.

Les malwares sont principalement diffusés via du spam. Depuis 2018, les chercheurs d’ESET ont observé 38 chaînes de diffusion différentes utilisées par cette famille. La plupart de ces chaînes comportent plusieurs étapes et finissent par télécharger une archive ZIP ; un comportement bien connu des chevaux de Troie bancaires latino-américains.

« Mekotio fait l’objet d’un développement assez chaotique et ses caractéristiques sont souvent modifiées. À partir de la structure interne de ses numéros de versions, ESET estime que de multiples variantes sont développées simultanément, » ajoute M. Šuman.




Voir les articles précédents

    

Voir les articles suivants