Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Mekotio Trojan: очередная проблема для пользователей Windows

03/09/24

windows hack6-2

CYFIRMA обнаружила новую зловредную программу под названием Mekotio Trojan, которая активно распространяется среди пользователей по всему миру. Этот сложный троян использует технологию PowerShell для проникновения на компьютеры и кражи конфиденциальной информации.

Согласно исследованию, Mekotio Trojan использует специально зашифрованный PowerShell-скрипт, чтобы скрыть свою вредоносную деятельность, пишет Securitylab. Сначала он собирает данные о зараженной системе (страна, имя компьютера, имя пользователя, версия Windows и наличие антивирусного ПО). Затем устанавливает устойчивое соединение с удаленным командным сервером (C2) и получает оттуда дополнительные вредоносные файлы.

Скачанные файлы распаковываются и устанавливаются в папку пользователя APPDATA, после чего автоматически запускаются при каждом старте системы. Среди этих файлов есть как исполняемые (.exe), так и скриптовые (.ahk) компоненты, используемые для дальнейших нападений.

По данным экспертов, IP-адрес командного сервера, на который выходит Mekotio, зарегистрирован в США на хостинг-провайдере GoDaddy. Кроме того, в коде троянской программы найдены комментарии на португальском языке, что может указывать на причастность к ней бразильских или португальских киберпреступников.

«Mekotio Trojan - это очередной пример того, как злоумышленники используют передовые технологии для кражи данных, - говорит глава отдела исследований CYFIRMA. - Применение мощных методов обфускации и обеспечение постоянного запуска вредоносной программы делают ее очень сложной для обнаружения и удаления. Всем пользователям необходимо усилить меры цифровой гигиены и установить надежные решения для защиты от таких угроз».

Эксперты CYFIRMA отмечают: Mekotio использует несколько уровней шифрования и маскировки, чтобы затруднить обнаружение. Помимо кастомной XOR-дешифровки, злоумышленники также применяют различные техники обфускации, например перемешивание имен функций и переменных. Это делает анализ вредоносного кода крайне трудоемким и сложным.

Согласно исследованию, Mekotio также пытается определить, какое антивирусное программное обеспечение установлено на зараженной системе. Вероятно, эта информация используется, чтобы избежать обнаружения.

Темы:УгрозытрояныPowershellCyfirma
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...