新たな分析により、少なくとも2015年以降、主にラテンアメリカ諸国を標的としてきた高度なマルウェア「Mekotio」バンキングトロイの木馬がもたらす脅威が明らかになった。
機密情報、特に銀行の認証情報を盗むよう設計されたMekotioは、ブラジル、チリ、メキシコ、スペイン、ペルーで特に活発に活動している。このマルウェアは、同じくラテンアメリカ発の著名なバンキングマルウェアで、今年初めに法執行機関によって妨害された Grandoreiroなどと起源を共有している。
Mekotioは通常、ソーシャルエンジニアリング手法を用いてユーザーを欺き、悪意のあるリンクや添付ファイルに関与させるフィッシングメールを通じて拡散する。
トレンドマイクロが公開したアドバイザリによると、このトロイの木馬は税務当局からの連絡を装い、受信者に未払いの義務があるかのように示唆するケースがしばしば確認されている。これらのフィッシングメールには、ZIPファイルの添付、または有害なサイトへのリンクが含まれている。
ユーザーが操作すると、マルウェアがダウンロードされ、システム上で実行される。典型的なケースでは、添付ファイルは悪意のあるリンクを埋め込んだPDFファイルである。起動されると、Mekotioはシステム情報を収集し、マルウェアの動作を指示するコマンド&コントロール(C2)サーバーとの接続を確立する。
Mekotioの主な目的は、銀行の認証情報を盗むことだ。正規の銀行サイトを模した偽のポップアップを表示し、ユーザーに詳細情報を入力させてだまし取り、その情報を収集することでこれを実現する。
認証情報の窃取に加え、Mekotioはスクリーンショットの取得、キーストロークの記録、クリップボードデータの窃取も可能だ。永続化のために、このトロイの木馬はスタートアッププログラムへの追加やスケジュールタスクの作成といった手口を用いる。盗まれた情報はC2サーバーへ送信され、悪意ある攻撃者がそれを不正行為(銀行口座への不正アクセスなど)に利用できるようになる。
フィッシング攻撃について詳しく読む:レポートが高度なフィッシング攻撃の341%増を明らかに
トレンドマイクロの緩和策に関する推奨事項
トレンドマイクロは、Mekotioに関連するリスクを軽減するには、適切なセキュリティのベストプラクティス、特にメール経由の脅威に焦点を当てた対策を遵守する必要があると警告した。
ユーザーは、心当たりのないメールに注意し、送信者のアドレスを確認し、メッセージ内のスペルや文法の誤りをチェックすべきだ。正当性を絶対に確信できない限り、リンクをクリックしたり添付ファイルをダウンロードしたりしないよう助言されている。リンクにカーソルを合わせてURLを確認したり、既知の連絡先情報を用いて送信者に直接連絡したりすることも、フィッシングの試みを防ぐのに役立つ。
さらに、メールフィルターや迷惑メール対策ソフトの導入、疑わしいメールをITおよびセキュリティチームへ報告することも有効な戦略である。こうしたソーシャルエンジニアリング手法に対する防御を強化するため、従業員向けの定期的なフィッシング啓発トレーニングも推奨されている。
「Mekotioバンキングトロイの木馬は、金融システムに対する持続的かつ進化する脅威であり、特にラテンアメリカ諸国で顕著である」と
には記されている。
「推奨されるセキュリティ対策を遵守することで[…]個人および組織は、この危険なマルウェアの被害に遭うリスクを大幅に低減できる」
翻訳元: https://www.infosecurity-magazine.com/news/mekotio-trojan-targets-latin/
