LYFtvNews
LYFtvNews
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Aller en bas
Gilles Roman
Gilles Roman
Admin
Date d'inscription : 04/05/2015
https://www.lyftv.com

Mekotio : l'amérique latine touchée par un virus bancaire Empty Mekotio : l'amérique latine touchée par un virus bancaire

Ven 14 Aoû - 14:55
Recherche ESET : le cheval de Troie bancaire Mekotio simule des mises à jour de sécurité, vole des bitcoins et exfiltre des identifiants Google
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, se sont penchés une fois de plus sur les célèbres chevaux de Troie bancaires latino-américains. Ils ont cette fois-ci étudié Mekotio, un cheval de Troie bancaire ciblant les pays hispanophones et lusophones : principalement le Brésil, le Chili, le Mexique, le Pérou, mais aussi l’Espagne, et le Portugal
Mekotio se vante de ses activités typiques d’une porte dérobée, notamment la prise de captures d’écran, le redémarrage des machines affectées, la restriction de l’accès aux sites web bancaires légitimes et, dans certaines variantes, le vol de bitcoins et l’exfiltration des identifiants stockés dans le navigateur Google Chrome.

Mekotio est actif depuis au moins 2015 et, comme d’autres chevaux de Troie bancaires sur lesquels ESET a enquêté, il partage des caractéristiques communes pour ce type de malwares, notamment sa programmation en Delphi, l’utilisation de fausses fenêtres pop-ups et des fonctionnalités de porte dérobée. Pour paraître moins suspect, Mekotio tente de se faire passer pour une mise à jour de sécurité à l’aide d’une boîte de dialogue spécifique.

Mekotio est en mesure d’accéder à de nombreuses informations sur ses victimes, notamment la configuration du pare-feu, les privilèges administrateur, la version du système d’exploitation Windows, ainsi qu’une liste des produits antifraudes et antimalwares installés. Une commande tente même de paralyser la machine de la victime en essayant de supprimer tous les fichiers et dossiers de l’arborescence C:\Windows.

« Pour les chercheurs, la caractéristique la plus notable des dernières variantes de cette famille de malwares est leur utilisation d’une base de données SQL comme serveur de commande et de contrôle, et la façon dont elles détournent l’interpréteur AutoIt légitime comme principale méthode pour s’exécuter, » explique Robert Šuman, le chercheur d’ESET qui dirige l’équipe de recherche de Mekotio.

Les malwares sont principalement diffusés via du spam. Depuis 2018, les chercheurs d’ESET ont observé 38 chaînes de diffusion différentes utilisées par cette famille. La plupart de ces chaînes comportent plusieurs étapes et finissent par télécharger une archive ZIP ; un comportement bien connu des chevaux de Troie bancaires latino-américains.

« Mekotio fait l’objet d’un développement assez chaotique et ses caractéristiques sont souvent modifiées. À partir de la structure interne de ses numéros de versions, ESET estime que de multiples variantes sont développées simultanément, » ajoute M. Šuman.

Pour plus de détails techniques sur Mekotio, lisez l’article « Mekotio : These aren’t the security updates you’re looking for… » sur WeLiveSecurity. 
Suivez l’actualité d’ESET Research sur Twitter.
Revenir en haut
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
Partager cette page :

Translate