{"id":259669,"date":"2021-11-21T01:53:09","date_gmt":"2021-11-21T00:53:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259669"},"modified":"2023-04-11T07:08:29","modified_gmt":"2023-04-11T05:08:29","slug":"banking-trojaner-mekotio-kehrt-in-latein-amerika-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/21\/banking-trojaner-mekotio-kehrt-in-latein-amerika-zurck\/","title":{"rendered":"Banking-Trojaner Mekotio kehrt in Latein-Amerika zurück"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Check Point meldet, dass der hochgez\u00fcchtete Banking-Trojaner Mekotio in Latein-Amerika zur\u00fcckkehrt. Im Juli diesen Jahres hatte die spanische Polizei 16 verd\u00e4chtige Personen wegen Geldw\u00e4sche im Zusammenhang mit der Malware gefasst. Nun attackiert die Malware spanischsprachige L\u00e4nder. Urheber der neuen Version scheint, laut Check Point, eine brasilianische Verbrecherbande zu sein. Wundert mich, da in Brasilien portugiesisch und nicht spanisch gesprochen wird. Jedenfalls blockierte Check Point bereits \u00fcber 100 Attacken.<\/p>\n

<\/p>\n

Check Point Research (CPR), die Forschungsabteilung von Check Point\u00ae Software Technologies Ltd. weist in einer Meldung darauf hin, dass die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen beginnt. Die Mail hat den Betreff l\u00e4uft: \"digital tax receipt pending submission\" \u2013 also: Digitale Zahlungsaufforderung ben\u00f6tigt Freigabe. Die Sicherheitsforscher vermuten eine Gruppe brasilianischer \u2013 eigentlich damit portugiesisch-sprachiger \u2013 Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware au\u00dferdem an andere Gruppen \u2013 ein mittlerweile g\u00e4ngiges Modell auf dem Schwarzmarkt. Bislang sind vor allem die B\u00fcrger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.<\/p>\n

\"Banking-Trojaners<\/p>\n

Abbildung: Angriffsweg des Banking-Trojaners Mekotio<\/em><\/p>\n

Mekotio<\/em> richtet sich gegen Windows-Rechner und bleibt nach dem Einbruch vorerst versteckt und weicht Viren-Scannern aus, bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto \u00fcber das Internet anmeldet. In diesem Moment stiehlt die Malware dessen Zugangsinformationen. Die neue Version wurde in diesen F\u00e4higkeiten gest\u00e4rkt.<\/p>\n

Verbreitet wird die Malware \u00fcber eine spanischsprachige Phishing-Nachricht (siehe oben), die einen Link zu einem verseuchten zip-Archiv enth\u00e4lt oder eines anh\u00e4ngen hat. Wird dieses heruntergeladen und entpackt, nimmt Mekotio <\/em>heimlich seine Arbeit auf. Ein interessanter Trick, weswegen die Malware kaum von Sicherheitsl\u00f6sungen erkannt wird: Sie verwendet eine veraltete Verschl\u00fcsselung namens substitution cipher<\/em>, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen. Auf der anderen Seite nutzen die Entwickler eine neue, kommerziell vertriebene Software namens Themida<\/em>, um die Nutzlast des Schadprogrammes sehr ausgefeit zu verschl\u00fcsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.<\/p>\n

Die Sicherheitsforscher mahnen die B\u00fcrger der L\u00e4nder zu besonderer Vorsicht wegen der E-Mails und raten zur Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird. Mehr zu Mekotio<\/em> gibt es hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Check Point meldet, dass der hochgez\u00fcchtete Banking-Trojaner Mekotio in Latein-Amerika zur\u00fcckkehrt. Im Juli diesen Jahres hatte die spanische Polizei 16 verd\u00e4chtige Personen wegen Geldw\u00e4sche im Zusammenhang mit der Malware gefasst. Nun attackiert die Malware spanischsprachige L\u00e4nder. Urheber der neuen Version … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-259669","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259669","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259669"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259669\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}