03/09/24
CYFIRMA обнаружила новую зловредную программу под названием Mekotio Trojan, которая активно распространяется среди пользователей по всему миру. Этот сложный троян использует технологию PowerShell для проникновения на компьютеры и кражи конфиденциальной информации.
Согласно исследованию, Mekotio Trojan использует специально зашифрованный PowerShell-скрипт, чтобы скрыть свою вредоносную деятельность, пишет Securitylab. Сначала он собирает данные о зараженной системе (страна, имя компьютера, имя пользователя, версия Windows и наличие антивирусного ПО). Затем устанавливает устойчивое соединение с удаленным командным сервером (C2) и получает оттуда дополнительные вредоносные файлы.
Скачанные файлы распаковываются и устанавливаются в папку пользователя APPDATA, после чего автоматически запускаются при каждом старте системы. Среди этих файлов есть как исполняемые (.exe), так и скриптовые (.ahk) компоненты, используемые для дальнейших нападений.
По данным экспертов, IP-адрес командного сервера, на который выходит Mekotio, зарегистрирован в США на хостинг-провайдере GoDaddy. Кроме того, в коде троянской программы найдены комментарии на португальском языке, что может указывать на причастность к ней бразильских или португальских киберпреступников.
«Mekotio Trojan - это очередной пример того, как злоумышленники используют передовые технологии для кражи данных, - говорит глава отдела исследований CYFIRMA. - Применение мощных методов обфускации и обеспечение постоянного запуска вредоносной программы делают ее очень сложной для обнаружения и удаления. Всем пользователям необходимо усилить меры цифровой гигиены и установить надежные решения для защиты от таких угроз».
Эксперты CYFIRMA отмечают: Mekotio использует несколько уровней шифрования и маскировки, чтобы затруднить обнаружение. Помимо кастомной XOR-дешифровки, злоумышленники также применяют различные техники обфускации, например перемешивание имен функций и переменных. Это делает анализ вредоносного кода крайне трудоемким и сложным.
Согласно исследованию, Mekotio также пытается определить, какое антивирусное программное обеспечение установлено на зараженной системе. Вероятно, эта информация используется, чтобы избежать обнаружения.
