Kāpēc jūsu antivīruss ir bezspēcīgs pret jaunu Trojas zirgu?
CYFIRMA ir atklājusi jaunu ļaunprogrammatūru Mekotio Trojan, kas aktīvi izplatās lietotāju vidū visā pasaulē. Šis sarežģītais trojans izmanto PowerShell tehnoloģiju, lai iefiltrētos datoros un nozagtu konfidenciālu informāciju.
Saskaņā ar pētījumu Mekotio Trojan izmanto īpaši šifrētu PowerShell skriptu, lai slēptu savas ļaunprātīgās darbības. Vispirms tas ievāc datus par inficēto sistēmu (valsti, datora nosaukumu, lietotājvārdu, Windows versiju un antivīrusu programmatūras klātbūtni). Pēc tam izveido stabilu savienojumu ar attālinātu komandu un kontroles serveri (C2) un no turienes iegūst papildu ļaunprātīgus failus.
Lejuplādētie faili tiek izpakoti un instalēti lietotāja mapē APPDATA, un pēc tam tiek automātiski palaisti katras sistēmas palaišanas laikā. Šie faili ietver gan izpildāmos (.exe), gan skriptu (.ahk) komponentus, ko izmanto turpmākiem uzbrukumiem.
Kā norāda eksperti, komandu un kontroles servera IP adrese, kurai piekļūst Mekotio, ir reģistrēta Amerikas Savienotajās Valstīs pie hostinga pakalpojumu sniedzēja GoDaddy. Turklāt Trojas zirga kodā tika atrasti komentāri portugāļu valodā, kas var liecināt par Brazīlijas vai Portugāles kibernoziedznieku iesaistīšanos.
“Mekotio Trojas zirgs ir vēl viens piemērs tam, kā uzbrucēji izmanto progresīvas tehnoloģijas, lai nozagtu datus,” teica CYFIRMA pētījumu vadītājs. – Izmantojot spēcīgas maskēšanas metodes un nodrošinot, ka ļaunprogrammatūra darbojas vienmēr, to ir ļoti grūti atklāt un izņemt. Visiem lietotājiem ir jāpastiprina digitālās higiēnas pasākumi un jāuzstāda spēcīgi risinājumi aizsardzībai pret šādiem draudiem.”
CYFIRMA eksperti norāda: Mekotio izmanto vairāku līmeņu šifrēšanu un maskēšanu, lai to būtu grūti atklāt. Papildus pielāgotai XOR atšifrēšanai uzbrucēji izmanto arī dažādas maskēšanas metodes, piemēram, sajauc funkciju un mainīgo nosaukumus. Tas padara ļaunprātīga koda analīzi ārkārtīgi laikietilpīgu un sarežģītu.
Saskaņā ar pētījumu Mekotio arī mēģina noteikt, kāda pretvīrusu programmatūra ir instalēta inficētajā sistēmā. Šī informācija, iespējams, tiek izmantota, lai izvairītos no atklāšanas.
Neskatoties uz Mekotio sarežģītību, CYFIRMA eksperti jau ir izstrādājuši YARA noteikumu, lai identificētu šo Trojas zirgu, pamatojoties uz tā unikālajām īpašībām. Tas palīdzēs antivīrusu risinājumiem identificēt un bloķēt ļaunprātīgas darbības.
CYFIRMA iesaka izmantot jaunākos antivīrusus, regulāri atjaunināt sistēmas, ievērot piesardzību, atverot aizdomīgus failus, un dublēt svarīgus datus. Tikai visaptveroša pieeja kiberdrošībai var pasargāt no jaunākajiem draudiem, piemēram, Mekotio.