Mekotio Trojan: очередной кошмар для пользователей Windows

CYFIRMA обнаружила новую зловредную программу под названием Mekotio Trojan, которая активно распространяется среди пользователей по всему миру. Этот сложный троян использует технологию PowerShell для проникновения на компьютеры и кражи конфиденциальной информации.

Согласно исследованию, Mekotio Trojan использует специально зашифрованный PowerShell-скрипт, чтобы скрыть свою вредоносную деятельность. Сначала он собирает данные о зараженной системе (страна, имя компьютера, имя пользователя, версия Windows и наличие антивирусного ПО). Затем устанавливает устойчивое соединение с удаленным командным сервером (C2) и получает оттуда дополнительные вредоносные файлы.

Скачанные файлы распаковываются и устанавливаются в папку пользователя APPDATA, после чего автоматически запускаются при каждом старте системы. Среди этих файлов есть как исполняемые (.exe), так и скриптовые (.ahk) компоненты, используемые для дальнейших нападений.

По данным экспертов, IP-адрес командного сервера, на который выходит Mekotio, зарегистрирован в США на хостинг-провайдере GoDaddy . Кроме того, в коде троянской программы найдены комментарии на португальском языке, что может указывать на причастность к ней бразильских или португальских киберпреступников.

«Mekotio Trojan - это очередной пример того, как злоумышленники используют передовые технологии для кражи данных, - говорит глава отдела исследований CYFIRMA. - Применение мощных методов обфускации и обеспечение постоянного запуска вредоносной программы делают ее очень сложной для обнаружения и удаления. Всем пользователям необходимо усилить меры цифровой гигиены и установить надежные решения для защиты от таких угроз».

Эксперты CYFIRMA отмечают: Mekotio использует несколько уровней шифрования и маскировки, чтобы затруднить обнаружение. Помимо кастомной XOR-дешифровки, злоумышленники также применяют различные техники обфускации, например перемешивание имен функций и переменных. Это делает анализ вредоносного кода крайне трудоемким и сложным.

Согласно исследованию, Mekotio также пытается определить, какое антивирусное программное обеспечение установлено на зараженной системе. Вероятно, эта информация используется, чтобы избежать обнаружения.

Несмотря на сложность Mekotio, специалисты CYFIRMA уже разработали YARA-правило, позволяющее идентифицировать троян по его уникальным характеристикам. Это поможет антивирусным решениям выявлять и блокировать вредоносную активность.

CYFIRMA рекомендует использовать современные антивирусы, регулярно обновлять системы, соблюдать осторожность при открытии подозрительных файлов, а также создавать резервные копии важных данных. Только комплексный подход к кибербезопасности может защитить от новейших угроз вроде Mekotio.