En bank-trojan, der stjæler krypto, er målrettet mod latinamerikanske brugere

Trojanen „Mekotio“ gik fra konventionel bank malware, der var finjusteret til at stjæle crypto.

Cybersecurity-eksperter advarer om en familie af banktrojaner, der er målrettet mod Windows-brugere i Latinamerika, men denne trojan fokuserer tilfældigvis på at stjæle cryptocurrencies.

Ifølge en rapport udgivet af cybersecurity-firmaet ESET er malware kendt som “Mekotio” og har været aktiv siden ca. marts 2018. Siden da har trusselsaktører kontinuerligt opgraderet kapaciteterne og angrebsområdet, for det meste kendt ved at målrette mod 51 banker .

Men nu fokuserer trojanen på Bitcoin Era i stedet for bare at stjæle bankoplysninger. Dette indebærer, at Mekotio er rettet mod individuelle brugere.

Spanien er også på Mekotios radar

De ondsindede kampagner blev leveret via phishing-e-mails af hackere og er mest rettet mod Chile og andre lande i den region. Der er stadig rapporteret om nogle tilfælde i Spanien.

Undersøgelsen specificerer, at et link er inkluderet i e-mail-kroppen, hvor brugere klikker på det og henter en .zip-fil. Når brugeren pakker ud filen, vises et .msi-installationsprogram. Hvis brugeren installerer det, er Mekotios angreb vellykket.

Daniel Kundro, en cybersikkerhedsekspert hos ESET, forklarede, at Mekotio erstatter BTC-tegnebogadresserne, der er kopieret på udklipsholderen. Hvis offeret ønsker at foretage en kryptoverførsel ved at kopiere og indsætte en tegnebogadresse i stedet for at skrive den manuelt, erstatter udnyttelsen offerets tegnebogadresse med forbryderens.

Flere cyberkriminelle BTC-tegnebøger, der er involveret i angrebet

Kundro advarer om, at cyberkriminelle bag Mekotio ikke bruger en enkelt tegnebog-adresse til at modtage deres stjålne BTC. De bruger ofte flere BTC-tegnebøger for at undgå let transaktionspor.

Men trojanen er ikke begrænset til kun at stjæle krypto- og bankoplysninger – den udsætter også et angreb for at stjæle adgangskoder, der er gemt i webbrowsere.

Ifølge en nylig undersøgelse foretaget af Group-IB, er en løseprogram, kendt som ProLock, afhængig af Qakbot-bank-trojanen for at starte angrebet og beder målene om seks-sifrede USD-løsemidler, der udbetales i BTC for at dekryptere filerne.

Cryptocururrency-kriminaltekniske eksperter fra Xrplorer advarede også den 15. juni om en detaljeret phishing-svindel, hvor hackere forsøger at stjæle de hemmelige nøgler fra XRP-brugere under den falske forudsætning, at Ripple giver bort tegn.