Portugal é um dos países afetados por novo malware que ataca aplicações bancárias. Como temos vindo a informar, os ciberataques têm vindo a crescer à escala global e Portugal não é exceção.
Segundo a investigação da empresa de cibersegurança ESET, o trojan, batizado de Mekotio, simula uma atualização de segurança e é capaz de roubar bitcoins e credenciais de acesso.
Há um novo malware, mais concretamente um trojan, que tem a capacidade de atacar aplicações bancárias em língua Portuguesa e Espanhola. O Mekotio, nome dada a esta nova ameaça, ataca sobretudo países latinos como o Brasil, Chile, México, Espanha, Peru e Portugal.
Uma vez infetado o computador, o Mekotio executa diversas atividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas infetadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome.
Malware Mekotio tem a capacidade de…
- Recolher das suas vítimas informação sobre a configuração do firewall do computador
- Versão do Windows da máquina infetada
- Privilégios de administração
- Lista de software anti-fraude e anti-malware eventualmente instalados
- Capaciade de tirar screenshots
- Reiniciar máquinas infetadas
- restringir o acesso a websites de banca online legítimos
- Roubar bitcoins
- Roubar credenciais guardadas pelo browser Chrome
Segundo Robert Šuman, o investigador da ESET que liderou a equipa que analisou o Mekotio…
Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQLdatabasecomo um servidor C&C [“comand&control”] e a forma como é capaz deabusardointerpretadorAutoItlegítimo como o seu método primário de execução
O Mekotio tem estado ativo desde pelo menos 2015 e, tal como outros troianos bancários investigados pela ESET, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de “backdoor”.
De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma atualização de software usando uma mensagem numa janela específica.