ผู้ที่อยู่เบื้องหลัง Mekotio Banking Trojan ได้ปรากฎตัวขึ้นอีกครั้งพร้อมกับการเทคนิคใหม่ที่จะหลบเลี่ยงการตรวจสอบของ Security software ในขณะที่มีการโจมมากกว่า 100 ครั้งในช่วง 3 เดือนที่ผ่านมานี้ โดยเป้าหมายจะถูกมุ่งเป้าไปที่ประเทศบราซิล ชิลี เม็กซิโก เปรู และสเปน
โดยการพัฒนาเทคนิคดังกล่าวนี้เกิดขึ้นหลังจากที่ในเดือนกรกฎาคม ปี 2564 หน่วยงานบังคับใช้กฎหมายของประเทศสเปนได้มีการจับกุมบุคคล 16 รายที่อยู่ในเครือข่ายอาชญากรที่เกี่ยวข้องกับการใช้ Mekotio และ banking malware อื่น ๆ ที่มีชื่อเรียกว่า Grandoreiro ซึ่งเป็นส่วนหนึ่งของ Social engineering campaign ที่มุ่งเป้าโจมตีไปยังสถาบันการเงินในยุโรป
Mekotio Malware ที่พัฒนาแล้วจะได้รับการออกแบบมาเพื่อเข้าควบคุมเครื่องด้วยการโจมตีแบบต่อเนื่อง เริ่มจากการส่ง Phishing mail ที่ปลอมแปลงเป็นใบเสร็จภาษีที่รอดำเนินการ และมีลิงค์ไปยังไฟล์ ZIP หรือแนบไฟล์ ZIP ที่เมื่อกดเปิดไฟล์จะเป็นการเรียกใช้งาน batch script ซึ่งจะมีการเรียก PowerShell script เพื่อดาวน์โหลดไฟล์ ZIP อีกไฟล์ ซึ่งในไฟล์ ZIP ที่สองนี้จะมีไฟล์อยู่ทั้งหมด 3 ไฟล์ คือ AutoHotkey (AHK) interpreter, AHK script และ Mekotio DLL payload โดยหาก Powershell Script จาก ZIP file บน Phishing mail ทำงานตัว Powershell script จะทำการเรียก AHK interpreter เพื่อรัน AHK Script ซึ่งจะรัน DLL Payload เพื่อขโมยรหัสผ่านจาก online banking portal และขโมยข้อมูลส่งกลับไปยัง remote server
ซึ่งตัว Malicious modules ของ Mekotio นั้นจะมีลักษณะเฉพาะโดยใช้เทคนิคการหลีกเลี่ยงการตรวจจับ เช่น การเข้ารหัสแบบแทนที่ หรือการทำให้ Malware ปรับปรุงความสามารถในการขโมยข้อมูล และทำให้ไม่สามารถตรวจจับได้โดย Security solution ต่าง ๆ
Kobi Eisenkraft จาก Check Point ได้กล่าวว่า Mekotio นั้น อันตรายอย่างมาก เนื่องจากตัว Mekotio นั้นจะขโมยข้อมูลผู้ใช้ และรหัสผ่านเพื่อเข้าสู่สถาบันการเงิน ซึ่งหลังจากมีการจับกุมแก๊งชาวสเปนจึงหยุดกิจกรรมดังกล่าวลงได้ แต่กลุ่มดังกล่าวยังไม่ใช่กลุ่มอาชญากรไซเบอร์หลักที่อยู่เบื้องหลัง Mekotio
ที่มา: thehackernews
You must be logged in to post a comment.