هجمات طروادة المصرفية “ميكوتيو” تتسلل عبر التحديث الأمني المزيف، وتسرق عملات البيتكوين و بيانات الاعتماد في جوجل
قام الباحثون في «إسيت» ESET مرة أخرى بالبحث عن أحصنة طروادة المصرفية الشهيرة في أمريكا اللاتينية. اكتشفوا هذه المرة “ميكوتيو” Mekotio، وهو عبارة عن هجمات طروادة مصرفية تستهدف البلدان الناطقة بالإسبانية والبرتغالية بشكل أساسي وهم البرازيل وتشيلي والمكسيك وإسبانيا وبيرو والبرتغال. تتميز هجمات “ميكوتيو” بالعديد من الأنشطة الخلفية النموذجية، بما في ذلك التقاط صور للشاشة، وإعادة تشغيل الأجهزة المتأثرة، وتقييد الوصول إلى مواقع الويب المصرفية الشرعية، و أيضًا سرقة عملات البيتكوين وسحب بيانات الاعتماد المخزنة بواسطة متصفح “جوجل كروم”.
نشط “ميكوتيو” منذ 2015، وكما هو الحال مع هجمات طروادة المصرفية الأخرى التي حققت فيها «إسيت»، هناك خصائص مشتركة في البرامج الضارة، مثل الكتابة في دلفي، باستخدام نوافذ منبثقة مزيفة وتحتوي على وظائف الباب الخلفي. لتبدو أقل إثارة للريبة، ويحاول “ميكوتيو” انتحال صفة تحديث أمني باستخدام مربع رسالة محدد.
هناك العديد من التفاصيل الفنية التي يستطيع “ميكوتيو” الوصول إليها من ضحاياه، بما في ذلك معلومات حول تكوين جدار الحماية وامتيازات المسؤول وإصدار نظام التشغيل “ويندوز OS” وقائمة بمنتجات مكافحة الاحتيال وحلول مكافحة البرامج الضارة المثبتة. ويحاول من خلال أمر واحد تعطيل جهاز الضحية عبر إزالة جميع الملفات والمجلدات C: \ Windows.
صرح “روبرت سومان”، الباحث في «إسيت»، و الذي قاد فريق التحقيق حول”ميكوتيو”، وقال : “الميزة التي لفتت نظرنا كباحثين حول هذه العائلة من البرامج الضارة هو استخدامها لقاعدة بيانات SQL كخادم القيادة والتحكم وكيف تسيء استخدام مترجم AutoIt الشرعي كطريقة أساسية لتنفيذ وظائفها”.
يتم توزيع البرامج الضارة في الغالب عبر البريد العشوائي. لاحظ الباحثون في «إسيت» منذ عام 2018، عدد 38 سلسلة توزيع مختلفة تستخدمها هذه العائلة. تتكون معظم هذه السلاسل من عدة مراحل وينتهي بها الأمر بتنزيل أرشيف مضغوط – وهو سلوك معروف لهجمات طروادة المصرفية في أمريكا اللاتينية.
و أضاف “سومان”: “لقد اتبعت “ميكوتيو” مسار تطوير فوضويًا إلى حد ما، حيث تم تعديل ميزاته كثيرًا. استنادًا إلى الإصدار الداخلي، تعتقد «إسيت» أن هناك العديد من المتغيرات التي يتم تطويرها في وقت واحد”.
لمزيد من التفاصيل الفنية حول “ميكوتيو”، اقرأ منشور المدونة “ميكوتيو: هذه ليست تحديثات الأمن التي تبحث عنها …” على موقع WeLiveSecurity. ويمكنك متابعة أبحاث «إسيت»على تويتر للحصول على آخر الأخبار.
