”Mekotio”-troijalainen siirtyi tavanomaisesta pankkien haittaohjelmasta, joka oli hienosäädetty varastamaan salaus.

Kyberturvallisuusasiantuntijat varoittavat pankki-troijalaisten perheestä, joka kohdistuu Windows-käyttäjiin kaikkialla Latinalaisessa Amerikassa, mutta tämä troijalainen keskittyy salausvaluuttojen varastamiseen.

Kyberturvallisuusyrityksen ESETin julkaiseman raportin mukaan haittaohjelma tunnetaan nimellä Mekotio ja se on ollut aktiivinen noin maaliskuusta 2018. Sittemmin uhkatoimijat ovat päivittäneet jatkuvasti hyökkäysten ominaisuuksia ja laajuutta, useimmiten tiedossa kohdistamalla yli 51 pankkia. .

Mutta nyt troijalainen keskittyy Bitcoiniin ( BTC ) sen sijaan, että varastaisi vain pankkitietoja. Tämä tarkoittaa, että Mekotio on kohdistettu yksittäisiin käyttäjiin.

Espanja on myös Mekotion tutkalla

Hakkerit toimittivat vahingolliset kampanjat tietokalastelusähköpostien kautta, ja ne kohdistuvat pääosin Chileen ja muihin alueen maihin. Espanjassa on kuitenkin ilmoitettu joitain tapauksia.

Tutkimuksessa täsmennetään, että linkki sisältyy sähköpostin runkoon, jossa käyttäjät napsauttavat sitä ja lataavat .zip-tiedoston. Kun käyttäjä purkaa tiedoston, .msi-asennusohjelma tulee näkyviin. Jos käyttäjä asentaa sen, Mekotion hyökkäys onnistuu.

ESET: n kyberturvallisuuden asiantuntija Daniel Kundro selitti, että Mekotio korvaa leikepöydälle kopioidut Bitcoin Trader lompakko-osoitteet. Jos uhri haluaa tehdä salauksen siirron kopioimalla ja liittämällä lompakon osoitteen manuaalisen kirjoittamisen sijasta, hyväksikäyttö korvaa uhrin lompakon osoitteen rikollisen osoitteella.

Useat tietoverkkorikollisten BTC-lompakkoosoitteet, jotka osallistuvat hyökkäykseen

Kundro varoittaa, että Mekotion takana olevat rikolliset eivät käytä yhtä lompakkoosoitetta varastetun BTC-vastaanoton vastaanottamiseen. He käyttävät usein useita BTC-lompakoita välttääksesi helpon tapahtumien jäljittämisen.

Mutta troijalainen ei rajoitu pelkästään salauksen ja pankkitietojen varastamiseen – se vie myös hyökkäyksen varastamaan verkkoselaimiin tallennetut salasanat.

Ryhmä-IB: n äskettäisen tutkimuksen mukaan ProLock-niminen ransomware luottaa Qakbot-pankki-troijalaiseen hyökkäyksen käynnistämiseen ja pyytää BTC: llä maksettuja kuusinumeroisia USD-lunnauksia koskevia kohteita tiedostojen salauksen purkamiseksi.

Cryptocurrencies-rikostekniset asiantuntijat Xrplorerista myös varoittivat 15. kesäkuuta yksityiskohtaisesta tietojenkalasteluhuijauksesta, jossa hakkerit yrittävät varastaa XRP-käyttäjien salaiset avaimet väärässä oletuksessa, että Ripple antaa rahakkeita.

Kategorien: Bitcoin