São Paulo, 21 de julho de 2020 – Mais um trojan foi descoberto fazendo vítimas pela América Latina. O Mekotio é de uma família de cavalos de Troia bancários que tem como alvo os sistemas Windows e visa obter dinheiro ou credenciais de acesso do serviço de banco digital de usuários. Em uma análise, a ESET, empresa líder em detecção proativa de ameaças, detectou que o malware já atingiu mais de 51 instituições bancárias.
Na América Latina, o Chile é o país que registra o maior número de ataques, seguido pelo Brasil e pelo México, a nível médio, e depois pelo Peru, Colômbia, Argentina, Equador e Bolívia, em baixo nível. O restante dos países latino-americanos não apresentaram níveis relevante de detecção, de acordo com a pesquisa.
“É importante destacar que um número baixo de detecções não implica que a ameaça não esteja presente em outros países da América Latina. Por sua vez, deve-se entender que, se os invasores considerarem lucrativo, poderá haver novas campanhas direcionadas para países que, até o momento, não possuem detecções, como a Espanha”, afirma Daniel Kundro, analista de malware da ESET América Latina.
O processo de infecção começa com uma campanha de spam. No geral, os e-mails enviados usam engenharia social para simular mensagens legítimas e personificar a identidade de empresas ou agências governamentais, a fim de enganar o usuário e fazê-lo clicar no link malicioso.
A estratégia usada para enganar a vítima em potencial é um e-mail que parece vir de uma entidade governamental na qual um recibo de pagamento de imposto é enviado. O objetivo é despertar a curiosidade do usuário, pois se ele efetuou o pagamento de um imposto, é provável que queira guardar o recibo. Caso a pessoa não tenha realizado a ação, pode haver um erro de coleta e, assim, surgir o interesse em aprender mais sobre o assunto. Nos dois casos, se o usuário abrir o link para baixar o suposto recebimento, o processo de infecção já foi iniciado.
Os estágios envolvidos em um dos processos de infecção usados por Mekotio estão detalhados abaixo:
Por se tratar de uma ameaça sustentada ao longo do tempo e presente em vários países, por meio de versões específicas direcionadas a cada um deles, é normal encontrar alguma variabilidade nas atividades maliciosas realizadas pelas diferentes amostras analisadas. No entanto, existe um fator comum entre todos: eles procuram roubar dinheiro e/ou credenciais bancárias. Os principais comportamentos maliciosos observados pela ESET nas amostras analisadas são:
• Roubo de credenciais bancárias com janelas falsas: essa ameaça monitora os sites acessados pelo navegador. Caso você tenha entrado no site de qualquer um dos bancos de interesse dos criminosos, o malware exibirá uma janela de login falsa que finge ser da instituição bancária. O objetivo é que o usuário insira suas credenciais de acesso ao sistema. Uma vez obtidos, eles são enviados para um servidor remoto dedicado ao armazenamento das informações roubadas.
• Roubo de senhas armazenadas por navegadores da web: algumas variantes do Mekotio têm a capacidade de roubar credenciais de acesso armazenadas pelo Google Chrome e Opera. Na maioria das vezes, ao tentar acessar um site usando um formulário de login, o navegador pergunta ao usuário se ele deseja salvar a senha no computador e, se autorizado, continua fazendo isso. Além da senha, o usuário e o site associado à conta que acabou de ser inserida também são armazenados. Essa funcionalidade maliciosa não se limita apenas ao roubo de credenciais bancárias, mas também afeta todas as contas cujos dados também foram armazenados no sistema por esses navegadores.
• Substituindo endereços de carteira bitcoin: consiste em substituir os endereços da carteira bitcoin copiados para a área de transferência pelo endereço da carteira do atacante. Dessa forma, se um usuário infectado quiser fazer uma transferência ou um depósito para um determinado endereço e usar o comando copy (clicar com o botão direito do mouse em copiar/ctrl + c) em vez de digitar, ao querer colar (clicar com o botão direito em colar/ctrl + v), o endereço para o qual a transferência foi feita não será colado, mas o endereço do atacante. Se o usuário não perceber essa diferença e decidir continuar a operação, acabará enviando o dinheiro para o atacante.
A ESET recomenda a aplicação de boas práticas e critérios de segurança, para evitar ser vítima do Mekotio. Alguns dos mais importantes, em relação direta a essa ameaça, são:
• Não abrir links contidos em e-mails de spam;
• Não fazer o download de anexos em e-mails de spam;
• Caso um arquivo comece a baixar automaticamente, não abrir;
• Ter cuidado ao baixar e extrair arquivos .zip ou .rar compactados de fontes não confiáveis, pois costumam ser usados para ocultar malware e ignorar certos mecanismos de segurança;
• Ser cauteloso ao baixar ou executar instaladores .msi ou executáveis .exe, verificando sua legitimidade e submetendo-os à análise de um produto de segurança;
• Ter uma solução de segurança atualizada.
• Manter o software do equipamento atualizado.
“Em cada um dos pontos mencionados, o objetivo é cortar algumas das etapas do processo de infecção e instalação. Se for bem-sucedido, o Mekotio não será executado. Na ESET, apostamos na educação e conscientização como o principal elemento de proteção. Depois de conhecer os riscos, podemos evitá-los, tomando as medidas necessárias e aproveitando a tecnologia com segurança”, conclui Kundro.
Para te ajudar a ficar em casa
A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.
No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.
Para saber mais sobre segurança da informação, entre no portal de notícias da ESET:
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo.
Copyright © 1992 – 2020. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.