Bitcoin hırsızlığı yapan truva atına aman dikkat!

2015 yılından beri aktif durumda olan Mekotio truva atı ESET’in araştırdığı başka bankacılık truva atları üzere Delphi’de yazılmış olma, düzmece açılır pencereler kullanma ve art kapı fonksiyonelliği içerme üzere bu tip makus hedefli yazılımların ortak özelliklerini barındırıyor. Daha az kuşkulu görünmek ismine Mekotio aşikâr bir bildiri kutusu kullanarak bir güvenlik güncellemesini taklit etmeye çalışıyor.

Mekotio truva atının kurbanlarında erişim sağlayabileceği birçok teknik detay kelam konusu. Bu teknik detaylar güvenlik duvarı yapılandırmaları, yönetici ayrıcalıkları, Windows işletim sistemi sürümü hakkında bilgileri ve dolandırıcılığa karşı kurulan eserlerin ve berbat hedefli yazılımlara karşı tahlillerin listesini içeriyor. Hatta bir komut, C:Windows ağacındaki tüm evrakları ve klasörleri kaldırmaya çalışarak kurbanın makinesini çökertmeyi bile deniyor.

Mekotio spam yoluyla dağılıyor

Makûs gayeli yazılım, genel olarak spam yoluyla dağıtılıyor. 2018’den beri araştırmacılar bu aile tarafından kullanılan 38 farklı dağıtım zinciri gözlemledi. Bu zincirlerin birden fazla birkaç kademeyi içeriyor ve bankaları amaç alan Latin Amerikan truva atlarının bilinen davranışı olarak bir ZIP arşivi indiriyor.

Özellikleri sıklıkla değiştiğinden karmaşık bir gelişim yolu izliyor

Mekotio’ya odaklanan araştırma takımını yöneten ESET araştırmacısı Robert Šuman şu bilgileri paylaştı. “Araştırmacılar için bu makus hedefli yazılım ailesinin en yeni varyantlarının kayda bedel en kıymetli özelliği, bir komut ve denetim sunucusu olarak SQL data tabanı kullanması ve birincil yürütme usulü olarak yasal AutoIt yorumlayıcıyı nasıl suistimal ettiğidir. Mekotio, özelliklerinin sıklıkla değişmesiyle epey karmaşık bir gelişim yolu izliyor. Dahili versiyonlamasına dayanarak birden çok varyantının tıpkı anda geliştiğine inanıyoruz.”