Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, se sont penchés une fois de plus sur les célèbres chevaux de Troie bancaires latino-américains. Ils ont cette fois-ci étudié Mekotio, un cheval de Troie bancaire ciblant les pays hispanophones et lusophones : principalement le Brésil, le Chili, le Mexique, l’Espagne, le Pérou et le Portugal.
Mekotio se vante de ses activités typiques d’une porte dérobée, notamment la prise de captures d’écran, le redémarrage des machines affectées, la restriction de l’accès aux sites web bancaires légitimes et, dans certaines variantes, le vol de bitcoins et l’exfiltration des identifiants stockés dans le navigateur Google Chrome. Mekotio est actif depuis au moins 2015 et, comme d’autres chevaux de Troie bancaires sur lesquels ESET a enquêté, il partage des caractéristiques communes pour ce type de malwares, notamment sa programmation en Delphi, l’utilisation de fausses fenêtres pop-ups et des fonctionnalités de porte dérobée.
Pour paraître moins suspect, Mekotio tente de se faire passer pour une mise à jour de sécurité à l’aide d’une boîte de dialogue spécifique. Mekotio est en mesure d’accéder à de nombreuses informations sur ses victimes, notamment la configuration du pare-feu, les privilèges administrateur, la version du système d’exploitation Windows, ainsi qu’une liste des produits antifraudes et antimalwares installés. Une commande tente même de paralyser la machine de la victime en essayant de supprimer tous les fichiers et dossiers de l’arborescence C:\Windows. « Pour les chercheurs, la caractéristique la plus notable des dernières variantes de cette famille de malwares est leur utilisation d’une base de données SQL comme serveur de commande et de contrôle, et la façon dont elles détournent l’interpréteur AutoIt légitime comme principale méthode pour s’exécuter, » explique Robert Šuman, le chercheur d’ESET qui dirige l’équipe de recherche de Mekotio.
Les malwares sont principalement diffusés via du spam. Depuis 2018, les chercheurs d’ESET ont observé 38 chaînes de diffusion différentes utilisées par cette famille. La plupart de ces chaînes comportent plusieurs étapes et finissent par télécharger une archive ZIP ; un comportement bien connu des chevaux de Troie bancaires latino-américains. « Mekotio fait l’objet d’un développement assez chaotique et ses caractéristiques sont souvent modifiées. À partir de la structure interne de ses numéros de versions, ESET estime que de multiples variantes sont développées simultanément, » ajoute M. Šuman.
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes.
*Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.