O Mekotio é
um cavalo de Troia que roda no
sistema operacional Windows e tem
por objetivo furtar credenciais bancárias e de carteiras de criptomoedas.
Segundo a ESET,
empresa líder em detecção proativa de ameaças, a praga já atingiu mais de 50
instituições bancárias na América Latina, sobretudo no Chile, Brasil e México, embora existam registros de casos também em outros países.
A infecção do sistema alvo se dá mediante uma mensagem de spam — email que se vale de engenharia social para induzir o destinatário a abrir anexos infectados e/ou clicar em links maliciosos. No caso específico do Mekotio, o remetente do email se faz passar por uma entidade governamental — que varia conforme o país — e disponibiliza ao destinatário um suposto comprovante de pagamento de imposto cujo acesso se dá mediante a abertura de um arquivo anexo ou clique num link exibido no corpo de texto da mensagem.
A ESET adverte que, por se tratar de uma praga que age em diversos países por meio de versões específicas direcionadas a cada um deles, pode haver diferenças na apresentação do golpe, mas a finalidade é sempre a mesma: roubar dinheiro e/ou credenciais bancárias.
Nas amostras analisadas pela empresa, o engodo abre uma
janela falsa que emula a página de logon de instituições bancárias e instruiu o
usuário/correntista a inserir seus dados de logon. Uma vez obtidas, as
informações são enviadas para um servidor remoto dedicado ao armazenamento de
dados roubados.
Algumas variantes do Mekotio são capazes de roubar
credenciais de acesso armazenadas pelos navegadores Google Chrome e Opera.
Na maioria das vezes, ao tentar acessar um site usando um formulário de login,
o navegador pergunta se o usuário deseja salvar a senha no computador e, caso seja
autorizado, armazena tanto a senha quanto o usuário e o site associado à conta
que foi informada.
A praga também costuma substituir pelos dados do atacante os endereços da carteira bitcoin que o usuário copia para a área de transferência do Windows (via atalho Ctrl + C ou clique direito > menu Copiar). Se a vítima não atentar para esse detalhe e der seguimento à operação, o dinheiro será enviado para o cibercriminoso.
A título de prevenção, a ESET recomenda:
— Não abrir anexos ou links contidos em emails de spam.
— Caso um arquivo comece a baixar automaticamente, interromper
o processo. Na impossibilidade, deletar o arquivo sem abrir.
— Redobrar os cuidados em relação a arquivos com
extensão .zip ou .rar (compactados), que são largamente utilizados como meio de
transporte de pragas digitais porque raramente são fiscalizados pelas ferramentas
de segurança (tipo antivírus, antispyware, Internet Security e afins). E o mesmo
vale para instaladores .msi e .exe, que só devem ser executados após a idoneidade ter sido atestada por um mecanismo de segurança confiável.
— Manter o software (sistema e programas) do computador
atualizado e contar com um arsenal de defesa responsável.
O ESET INTERNET SECURITY oferece proteção responsável e pode ser testado gratuitamente por 90 dias (para mais informações, acesse http://www.eset.com/br)
