专家警告说，Mekotio银行木马针对拉丁美洲国家

拉丁美洲的金融机构正受到名为Mekotio（又名Melcoz）的银行木马的威胁。

这是根据趋势科技的调查结果，趋势科技表示，它最近观察到分发Windows恶意软件的网络攻击激增。

众所周知，Mekotio自2015年以来一直积极投入使用，以巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙等拉丁美洲国家为目标，旨在窃取银行凭证。

ESET于2020年8月首次记录，它是针对Guildma、Javali和Grandoreiro地区的银行木马四重奏的一部分，后者于今年早些时候被执法部门拆除。

这家斯洛伐克网络安全公司当时表示，Mekotio对这种类型的恶意软件有着共同的特点，例如用Delphi编写，使用假弹出窗口，包含后门功能，并针对西班牙语和葡萄牙语国家。

2021年7月，该恶意软件行动受到打击，当时西班牙执法机构逮捕了属于犯罪网络的16名个人，他们策划了针对欧洲用户的社会工程活动，这些活动提供了Grandoreiro和Mekotio。

攻击链涉及使用以税收为主题的网络钓鱼电子邮件，旨在诱骗收件人打开恶意附件或单击导致部署MSI安装程序文件的虚假链接，而MSI安装程序文件又使用AutoHotKey（AHK）脚本启动恶意软件。

值得注意的是，感染过程与之前在2021年11月由Check Point详细描述的过程略有偏差，后者使用一个混淆的批处理脚本，该脚本运行PowerShell脚本来下载包含AHK脚本的第二阶段ZIP文件。

安装后，Mekotio会收集系统信息，并与命令与控制（C2）服务器建立联系，以接收进一步的指示。

它的主要目标是通过显示冒充合法银行网站的假弹出窗口来抽走银行凭证。它还可以捕获屏幕截图，记录击键，窃取剪贴板数据，并使用计划任务在主机上建立持久性。

然后，被盗信息可以被威胁者用于未经授权访问用户的银行账户并进行欺诈性交易。

趋势科技表示，Mekotio银行木马对金融系统是一个持续且不断变化的威胁，特别是在拉丁美洲国家。它使用网络钓鱼电子邮件渗透系统，目的是窃取敏感信息，同时在被入侵的机器上保持稳脚跟。

这一发展之际，墨西哥网络安全公司Scitum披露了代号为Red Mongoose Daemon的新拉丁美洲银行木马的细节，该木马与Mekotio类似，使用通过伪装成发票和税单的网络钓鱼电子邮件分发的MSI滴管。

该公司表示，Red Mongoose Daemon的主要目标是通过重叠的窗口欺骗PIX交易来窃取受害者的银行信息。这个特洛伊木马针对的是拥有银行信息的组织的巴西最终用户和员工。

红猫鼬守护神有能力操作和创建窗口，执行命令，远程控制计算机，操作网络浏览器，劫持剪贴板，并通过用网络犯罪分子使用的钱包替换复制的钱包来模拟比特币钱包。

参考链接：https://thehackernews.com/2024/07/experts-warn-of-mekotio-banking-trojan.html