Trojan Perbankan Mekotio Perbarui Metode Serangan
Ilustrasi | The Hacker News
Cyberthreat.id – Trojan perbankan Mekotio kembali muncul dan menebar ancamannya di dunia maya. Kemunculannya kali ini diikuti pembaruan metode serangan. Selama tiga bulan terakhir, Mekotio telah melancarkan 100 serangan.
Laporan The Hacker News, Rabu 3 November 2021, menyebutkan operator yang berada di belakang Mekotia telah menggeser aliran infeksi agar tetap tak terendus dan menghindari perangkat lunak keamanan.
“Salah satu karakteristik utamanya adalah serangan modular yang memberi penyerang kemampuan untuk mengubah hanya sebagian kecil dari keseluruhan untuk menghindari deteksi,” kata peneliti dari Check Point Research dalam sebuah laporan yang diterima kepada The Hacker News.
Gelombang serangan terbaru dikatakan terutama menargetkan korban yang berlokasi di Brasil, Chili, Meksiko, Peru, dan Spanyol.
Perkembangan itu terjadi setelah lembaga penegak hukum Spanyol pada Juli 2021 menangkap 16 orang yang tergabung dalam jaringan kriminal sehubungan dengan pengoperasian Mekotio dan malware perbankan lain yang disebut Grandoreiro sebagai bagian dari kampanye rekayasa sosial yang menargetkan lembaga keuangan di Eropa.
Versi turunan dari jenis malware Mekotio dirancang untuk membahayakan sistem Windows dengan rantai serangan yang dimulai dengan email phishing yang menyamar sebagai tanda terima pajak yang tertunda dan berisi tautan ke file ZIP atau file ZIP sebagai lampiran. Mengklik buka arsip ZIP memicu eksekusi skrip batch yang, pada gilirannya, menjalankan skrip PowerShell untuk mengunduh file ZIP tahap kedua.
File ZIP sekunder ini menampung tiga file berbeda — penerjemah AutoHotkey (AHK), skrip AHK, dan payload Mekotio DLL. Skrip PowerShell yang disebutkan di atas kemudian memanggil penerjemah AHK untuk mengeksekusi skrip AHK, yang menjalankan muatan DLL untuk mencuri kata sandi dari portal perbankan online dan mengekstrak hasilnya kembali ke server jarak jauh.
Modul jahat dicirikan oleh penggunaan teknik kebingungan sederhana, seperti sandi substitusi, memberikan malware peningkatan kemampuan siluman dan memungkinkannya untuk tidak terdeteksi oleh sebagian besar solusi antivirus.
"Ada bahaya yang sangat nyata bagi bankir, Mekotio yang mencuri nama pengguna dan kata sandi, untuk masuk ke lembaga keuangan," kata Kobi Eisenkraft dari Check Point. "Oleh karena itu, penangkapan menghentikan aktivitas geng Spanyol, tetapi bukan kelompok kejahatan dunia maya utama di belakang Mekotio."
Pengguna di Amerika Latin sangat disarankan untuk menggunakan autentikasi dua faktor untuk mengamankan akun mereka dari serangan pengambilalihan, dan waspada terhadap domain yang mirip, kesalahan ejaan dalam email atau situs web, dan pesan email dari pengirim yang tidak dikenal.[]
