عودة ميكوتيو بانكينغ تروجان إلى السطح باستخدام تقنيات جديدة (Mekotio Banking Trojan) للهجوم والتخفي
عاد المشغلون الذين يقفون وراء ميكوتيو بانكينغ تروجان (Mekotio Banking trojan) إلى الظهور مع تحول في تدفق العدوى وذلك للبقاء تحت الرادار والتهرب من برامج الأمان، بينما شنوا ما يقرب من 100 هجوم على مدى الأشهر الثلاثة الماضية.
وقال باحثون من أبحاث جيك بوينت (Check Point Research) في تقرير تمت مشاركته مع صحيفة ذي هاكر نيوز (The Hacker News): “إحدى الخصائص الرئيسية […] هي الهجوم المعياري الذي يمنح المهاجمين القدرة على تغيير جزء صغير فقط من الكل لتجنب الاكتشاف”. ويقال إن الموجة الأخيرة من الهجمات استهدفت في الأساس ضحايا في البرازيل وتشيلي والمكسيك وبيرو وإسبانيا.
ويأتي هذا التطور بعد أن ألقت وكالات إنفاذ القانون الإسبانية في يوليو 2021 القبض على 16 فردًا ينتمون إلى شبكة إجرامية فيما يتعلق بتشغيل ميكوتيو (Mekotio) وبرنامج ضار مصرفي آخر يسمى غراندوريرو (Grandoreiro) كجزء من حملة الهندسة الاجتماعية التي تستهدف المؤسسات المالية في أوروبا.
وتم تصميم الإصدار المتطور من سلالة البرامج الضارة ميكوتيو (Mekotio) لخرق أنظمة ويندوز بسلسلة هجوم تبدأ برسائل بريد إلكتروني تصيدية تتنكر كإيصالات ضريبية معلقة وتحتوي على رابط إلى ملف (ZIP) أو ملف (ZIP) كمرفق. ويؤدي النقر فوق فتح أرشيف (ZIP) إلى تشغيل برنامج نصي دفعي يقوم بدوره بتشغيل برنامج نصي باور شل (PowerShell) لتنزيل ملف (ZIP) من المرحلة الثانية.
يحتوي ملف (ZIP) الثانوي هذا على ثلاثة ملفات مختلفة – مترجم أوتوهوتكي (AutoHotkey (AHK))، ونص (AHK)، وحمولة (Mekotio DLL). ثم يقوم البرنامج النصي باورشل (PowerShell) المذكور أعلاه باستدعاء مترجم (AHK) لتنفيذ البرنامج النصي (AHK)، والذي يقوم بتشغيل حمولة (DLL) لسرقة كلمات المرور من بوابات الخدمات المصرفية عبر الإنترنت واستخراج النتائج مرة أخرى إلى خادم بعيد.
وتتميز الوحدات الخبيثة باستخدام تقنيات التشويش البسيطة، مثل الأصفار البديلة، وإعطاء البرمجيات الخبيثة قدرات تخفي محسنة وتمكينها من عدم اكتشافها بواسطة معظم حلول مكافحة الفيروسات.
قال كوبي إيزنكرافت من جك بوينت (Check Point): “هناك خطر حقيقي للغاية في سرقة مصرفي ميكوتيو (Mekotio) لأسماء المستخدمين وكلمات المرور، من أجل الدخول إلى المؤسسات المالية. ومن ثم، أوقفت الاعتقالات نشاط العصابات الإسبانية، ولكن لم أوقف نشاط مجموعات الجرائم الإلكترونية الرئيسية وراء ميكوتيو”.
يُنصح المستخدمون في أمريكا اللاتينية بشدة باستخدام المصادقة ذات العاملين لتأمين حساباتهم من هجمات الاستيلاء، واحترس من المجالات المشابهة، والأخطاء الإملائية في رسائل البريد الإلكتروني أو مواقع الويب، ورسائل البريد الإلكتروني من مرسلين غير مألوفين.
المصدر: (thehackernews.com)
