Malware

Mekotio: โทรจันธุรกรรมอันตรายอีกตัวในละตินอเมริกา

โทรจันธุรกรรมอันตรายที่สามารถทำได้แม้กระทั้งล้างไฟล์ Windows ในไดร์ฟ

Mekotio โทรจันธุรกรรมอีกตัวในละตินอเมริกันโจมตีผู้ใช้ในประเทศบราซิล ชิลี เม็กซิโก สเปน เปรู และโปรตุเกส ด้วยฟีเจอร์ของสายพันธุ์ใหม่ที่ใช้ฐานข้อมูล SQL เป็นเซิร์ฟเวอร์ C&C (Command and Control)

คาดว่า Mekotio เริ่มทำงานมาตั้งแต่ปี 2015 ผ่านการโจมตีด้วยหน้าต่างป๊อปอัพ เพื่อขโมยข้อมูลสำคัญในธนาคารของละตินอเมริกันและสถาบันทางการเงิน

ข้อมูลสำคัญที่ Mekotio เก็บจากผู้ใช้:

  • การตั้งค่า Firewall
  • สิทธิการใช้งานของผู้ใช้
  • เวอร์ชั่นของระบบปฏิบัติการ
  • ระบบการป้องกันการฉ้อโกง (GAS Technologia Warsaw และ IBM Trusteer) ว่ามีติดตั้งหรือไม่?
  • โซลูชั่นป้องกันมัลแวร์

นอกจากนี้ยังมีความสามารถ Backdoor อื่นๆ เช่น ถ่ายภาพหน้าจอ จัดการ Windows จำลองการใช้เม้าส์และคีย์บอร์ด รีสตาร์ทเครื่อง จำกัดการเข้าถึงเว็บไซต์ธนาคาร และอัพเดตตัวเอง ในบางสายพันธุ์สามารถขโมยเงิน Bitcoin ด้วยการเปลี่ยนที่อยู่ของกระเป๋าเงินปลายทาง และขโมยข้อมูลล็อคอินที่บันทึกอยู่ในเบราว์เซอร์ Google Chrome

อีกหนึ่งความสามารถที่น่าสนใจก็คือการล้างข้อมูลออกจากโฟลเดอร์ C:\Windows ทั้งหมด

Author: ESET Research
Source: https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/
Translated by: Worapon H.

<span>%d</span> bloggers like this: