Experts Warn of Mekotio Banking Trojan Targeting Latin American Countries – OfficialSarkar
लैटिन अमेरिका में वित्तीय संस्थाओं को मेकोटियो (उर्फ मेल्कोज़) नामक बैंकिंग ट्रोजन से खतरा है।
इसके अनुसार जाँच – परिणाम ट्रेंड माइक्रो ने कहा कि उसने हाल ही में विंडोज़ मैलवेयर वितरित करने वाले साइबर हमलों में वृद्धि देखी है।
ज्ञात है कि मेकोटियो का 2015 से सक्रिय रूप से उपयोग किया जा रहा है, तथा यह बैंकिंग क्रेडेंशियल्स चुराने के उद्देश्य से ब्राजील, चिली, मैक्सिको, स्पेन, पेरू और पुर्तगाल जैसे लैटिन अमेरिकी देशों को निशाना बनाता है।
अगस्त 2020 में ESET द्वारा पहली बार प्रलेखित, यह बैंकिंग ट्रोजन के टेट्रेड का हिस्सा है जो गिल्डमा, जावली और ग्रैंडोरिरो क्षेत्र को लक्षित करता है, जिनमें से बाद वाले को इस वर्ष की शुरुआत में कानून प्रवर्तन द्वारा नष्ट कर दिया गया था।
स्लोवाकियाई साइबर सुरक्षा फर्म ने उस समय कहा था, “मेकोटियो में इस प्रकार के मैलवेयर के लिए सामान्य विशेषताएं हैं, जैसे कि डेल्फी में लिखा जाना, नकली पॉप-अप विंडो का उपयोग करना, बैकडोर कार्यक्षमता शामिल करना और स्पेनिश और पुर्तगाली भाषी देशों को लक्षित करना।”
मैलवेयर ऑपरेशन को जुलाई 2021 में तब झटका लगा जब स्पेनिश कानून प्रवर्तन एजेंसियों ने एक आपराधिक नेटवर्क से जुड़े 16 व्यक्तियों को ग्रैंडोरेइरो और मेकोटियो वितरित करने वाले यूरोपीय उपयोगकर्ताओं को लक्षित करने वाले सोशल इंजीनियरिंग अभियानों को अंजाम देने के सिलसिले में गिरफ्तार किया।
आक्रमण श्रृंखला में कर-विषयक फ़िशिंग ईमेल का उपयोग शामिल होता है, जिसका उद्देश्य प्राप्तकर्ताओं को दुर्भावनापूर्ण अनुलग्नक खोलने या फर्जी लिंक पर क्लिक करने के लिए प्रेरित करना होता है, जिससे MSI इंस्टॉलर फ़ाइल की तैनाती हो जाती है, जो बदले में मैलवेयर को लॉन्च करने के लिए ऑटोहॉटकी (AHK) स्क्रिप्ट का उपयोग करती है।
यह ध्यान देने योग्य है कि संक्रमण प्रक्रिया नवंबर 2021 में चेक प्वाइंट द्वारा पहले बताए गए विवरण से थोड़ा विचलन दर्शाती है, जिसमें एक अस्पष्ट बैच स्क्रिप्ट का उपयोग किया गया था जो AHK स्क्रिप्ट वाली दूसरी-चरण की ज़िप फ़ाइल को डाउनलोड करने के लिए एक PowerShell स्क्रिप्ट चलाता है।
एक बार स्थापित हो जाने पर, मेकोटियो सिस्टम की जानकारी एकत्रित करता है तथा आगे के निर्देश प्राप्त करने के लिए कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संपर्क स्थापित करता है।
इसका मुख्य उद्देश्य नकली पॉप-अप प्रदर्शित करके बैंकिंग क्रेडेंशियल्स को चुराना है जो वैध बैंकिंग साइटों का प्रतिरूपण करते हैं। यह स्क्रीनशॉट भी कैप्चर कर सकता है, कीस्ट्रोक्स लॉग कर सकता है, क्लिपबोर्ड डेटा चुरा सकता है, और शेड्यूल किए गए कार्यों का उपयोग करके होस्ट पर दृढ़ता स्थापित कर सकता है।
चुराई गई जानकारी का उपयोग अपराधी उपयोगकर्ताओं के बैंक खातों तक अनाधिकृत पहुंच प्राप्त करने और धोखाधड़ीपूर्ण लेनदेन करने के लिए कर सकते हैं।
ट्रेंड माइक्रो ने कहा, “मेकोटियो बैंकिंग ट्रोजन वित्तीय प्रणालियों के लिए एक सतत और विकसित खतरा है, खासकर लैटिन अमेरिकी देशों में।” “यह सिस्टम में घुसपैठ करने के लिए फ़िशिंग ईमेल का उपयोग करता है, जिसका लक्ष्य संवेदनशील जानकारी चुराना है, साथ ही समझौता किए गए मशीनों पर मजबूत पकड़ बनाए रखना है।”
यह घटनाक्रम ऐसे समय में सामने आया है जब मैक्सिकन साइबर सुरक्षा फर्म स्किटम ने एक नए लैटिन अमेरिकी बैंकिंग ट्रोजन का विवरण उजागर किया है, जिसका कोडनेम रेड मोंगूज डेमन है, जो मेकोटियो के समान ही चालान और कर नोट के रूप में फिशिंग ईमेल के माध्यम से वितरित एमएसआई ड्रॉपर्स का उपयोग करता है।
कंपनी ने कहा, “रेड मोंगूस डेमन का मुख्य उद्देश्य ओवरलैपिंग विंडो के माध्यम से PIX लेनदेन को धोखा देकर पीड़ितों की बैंकिंग जानकारी चुराना है।” कहा“यह ट्रोजन ब्राजील के अंतिम उपयोगकर्ताओं और बैंकिंग जानकारी वाले संगठनों के कर्मचारियों को लक्षित करता है।”
“रेड मोंगूज डेमन में विंडोज़ बनाने और उनमें हेरफेर करने, कमांड निष्पादित करने, कंप्यूटर को दूर से नियंत्रित करने, वेब ब्राउज़र में हेरफेर करने, क्लिपबोर्ड को हाईजैक करने और कॉपी किए गए वॉलेट को साइबर अपराधियों द्वारा उपयोग किए जाने वाले वॉलेट से बदलकर बिटकॉइन वॉलेट का प्रतिरूपण करने की क्षमताएं हैं।”
Source: TheHackerNews