Banking‑Trojaner Mekotio: Nicht die Sicherheitsupdates, die Sie suchen | WeLiveSecurity

Banking‑Trojaner Mekotio: Nicht die Sicherheitsupdates, die Sie suchen

Ein weiterer Teil in unserer Serie über lateinamerikanische Banking-Trojaner.

Ein weiterer Teil in unserer Serie über lateinamerikanische Banking-Trojaner.

In diesem Artikel stellen wir Mekotio vor, einen lateinamerikanischen Banking-Trojaner, der hauptsächlich in den Ländern Brasilien, Chile, Mexiko, Spanien, Peru und Portugal sein Unwesen treibt. Das bemerkenswerteste Merkmal der neuesten Varianten dieser Malware-Familie ist die Verwendung einer SQL-Datenbank als C&C-Server.

Abbildung 1. Von Mekotio betroffene Länder

Wie bei vielen anderen lateinamerikanischen Banking-Trojanern, die wir bereits hier beschrieben haben, hat Mekotio eine eher chaotische Entwicklung genommen, da seine Funktionen sehr häufig geändert wurden. Aufgrund der internen Versionierung glauben wir, dass mehrere Varianten der Malware gleichzeitig entwickelt werden. Ähnlich wie bei Casbaneiro ist es jedoch praktisch unmöglich, diese Varianten auseinander zu halten. Deshalb bezeichnen wir sie alle als Mekotio.

Charakteristische Eigenschaften

Mekotio ist ein typischer lateinamerikanischer Banking-Trojaner, der seit mindestens 2015 aktiv ist. Das heißt er versucht seine Opfer über gefälschte Popup-Fenster zur Preisgabe von vertraulichen Informationen zu verleiten. Diese Fenster sind sorgfältig gestaltet, um den Eindruck zu erwecken, dass sie von lateinamerikanischen Banken und anderen Finanzinstituten stammen.

Mekotio sammelt diese Informationen über seine Opfer:

  • Firewall-Konfiguration
  • Hat das Opfer Administratorrechte auf dem Rechner?
  • Version des installierten Windows-Betriebssystems
  • Sind Betrugsbekämpfungsprodukte (GAS Tecnologia Warsaw und IBM Trusteer) installiert?
  • Liste der installierten Antimalwarelösungen

Mekotio stellt seine Persistenz entweder mithilfe eines Ausführungsschlüssels oder durch das Erstellen einer LNK-Datei im Startordner sicher.

Wie bei den meisten lateinamerikanischen Banking-Trojanern üblich, verfügt Mekotio über mehrere typische Backdoor-Funktionen. Er kann Screenshots machen, Fenster bearbeiten, Maus- und Tastaturaktionen simulieren, den Computer neu starten, den Zugriff auf verschiedene Bankwebsites einschränken und sich selbst aktualisieren. Einige Varianten können auch Bitcoins stehlen, indem sie eine Bitcoin-Brieftasche in der Zwischenablage ersetzen und die im Google Chrome-Browser gespeicherten Anmeldeinformationen herausfiltern. Interessanterweise existiert auch ein Befehl, der den Computer des Opfers unbrauchbar machen soll, indem alle Dateien und Ordner unterhalb von C:\Windows gelöscht werden.

Eine Möglichkeit zur Identifikation von Mekotio, ist eine bestimmte Meldung, die der Trojaner mehrmals anzeigt (siehe Abbildung 2).

Abbildung 2. Meldung, die alle Mekotio-Varianten nutzen
(Übersetzung: „Wir führen derzeit Sicherheitsupdates auf der Website durch! Bitte versuchen Sie es später noch einmal! Neue Sicherheitsmaßnahmen werden eingeführt: (1) neues Sicherheits-Plugin und (2) neues visuelles Erscheinungsbild. Ihr System wird neu gestartet, um den Vorgang abzuschließen.”)

Um das Stehlen von Passwörtern per Keylogging zu vereinfachen, deaktiviert Mekotio „AutoVervollständigen“-Option im Internet Explorer. Durch diese Funktion sparen Nutzer des Internet Explorers Zeit, beim Ausfüllen von Formularfeldern, indem schon gespeicherte Angaben herangezogen werden. Mekotio schaltet dies aus, indem er die folgenden Windows-Registry-Werte ändert:

  • HKCU\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete\
    • AutoSuggest = “No”
  • HKCU\Software\Microsoft\Internet Explorer\Main\
    • Use FormSuggest = “No”
    • FormSuggest Passwords = “No”
    • FormSuggest PW Ask = “No”

Eine tiefergehende Analyse einer chilenischen Variante von Mekotio finden Sie in diesem kürzlich veröffentlichten WLS-Artikel (auf Spanisch).

Distributionsmethode

Wir glauben, dass Spam die Hauptverteilungsmethode für Mekotio ist (Beispiel siehe Abbildung 3). Seit 2018 konnten wir 38 verschiedene Vertriebsketten beobachten, mit der diese Malware-Familie verbreitet wird. Die meisten Ketten bestehen aus mehreren Phasen und enden mit dem Download eines ZIP-Archivs, was für lateinamerikanische Banking-Trojaner typisch ist. In den folgenden Abschnitten werden die beiden am häufigsten verwendeten Ketten analysiert.

Abbildung 3. Beispiel einer Spam-E-Mail, mit der Mekotio verteilt wird (Übersetzung: „Sehr geehrter Bürger, Ihre angeforderte Quittung:… Quittung herunterladen“)

 

Methode 1: Kontext übergeben

Die erste Kette besteht aus vier aufeinander folgenden Schritten, wie in Abbildung 4 dargestellt. Ein einfacher BAT-Dropper dropt einen VBScript-Downloader und führt ihn mit zwei Befehlszeilenparametern aus: einem benutzerdefinierten HTTP-Verb („111SA“) und einer URL zum Herunterladen der nächsten Stufe. Der Downloader lädt die nächste Stufe (einen weiteren Downloader) von der angegebenen URL herunter, wobei er einen individuellen User-Agent-Wert („MyCustomUser“ und seine Variationen) verwendet. Im dritten Schritt wird ein PowerShell-Skript heruntergeladen, wobei die Download-URL für Mekotio im Skript korrigiert wird, bevor es ausgeführt wird. Das PowerShell-Skript lädt dann Mekotio von der korrigierten URL herunter, installiert ihn und führt ihn aus (den Ausführungsprozess beschreiben wir später noch ausführlich).

 

 

Abbildung 4. Eine von Mekotio verwendete Distributionsmethode, bei der Kontext zwischen den Phasen weitergegeben wird.

Zwei Dinge sind an dieser Kette interessant. Das Erste ist die Verwendung von individuellen Werten sowohl für den User-Agent-Header als auch für das HTTP-Verb. Diese können dazu verwendet werden, um einige Netzwerkaktivitäten von Mekotio zu identifizieren.

Der zweite interessante Aspekt ist die Übergabe von Kontext (entweder als Befehlszeilenargumente oder durch Ändern des Hauptteils der nächsten Stufe). Dies ist eine einfache, aber effektive Anti-Analyse-Technik. Wenn Sie Downloader 1 ohne den passenden Dropper haben, dann verfügen Sie weder über die URL noch über das benutzerdefinierte HTTP-Verb, welche zum Abrufen der nächsten Stufe der Malware erforderlich ist. Ebenso ist es nutzlos, Downloader 3 ohne Downloader 2 zu haben, da die URL fehlt. Dieser Ansatz erschwert die Analyse, wenn der Kontext unbekannt ist.

Methode 2: MSI mit eingebettetem JavaScript

Wie viele andere lateinamerikanische Banking-Trojaner nutzt Mekotio in einigen der neuesten Vertriebsketten MSI. In diesem Fall ist die Kette viel kürzer und weniger robust, da nur ein einziges JavaScript, das als letzte Stufe dient, in die MSI eingebettet und ausgeführt wird.

Im Vergleich zur PowerShell-Endphase der vorherigen Kette gibt es einige sichtbare Ähnlichkeiten. Die wichtigste ist die Installationsroutine, die nach dem Herunterladen und Extrahieren des ZIP-Archivs aufgerufen wird und den Inhalt des extrahierten ZIP-Archivs entsprechend der Dateigröße umbenennt (siehe Abbildung 5). Dies hängt eng mit der im nächsten Abschnitt beschriebenen Ausführungsmethode zusammen.

 

Abbildung 5. Vergleich der Installationsroutine in den von Mekotio verwendeten JavaScript- und PowerShell-Skripten, wobei die Ähnlichkeit bei der Entscheidung über die Dateigröße hervorgehoben wird

Ausführung durch Missbrauch des AutoIt-Interpreters

Mekotio wird am häufigsten dadurch ausgeführt, dass der legitime AutoIt-Interpreter missbraucht wird. In diesem Szenario enthält das ZIP-Archiv (neben dem Mekotio-Banking-Trojaner) einen legitimen AutoIt-Interpreter und ein kleines AutoIt-Loader- oder Injector-Skript. In der letzten Phase der Verteilungskette wird der AutoIt-Interpreter ausgeführt und das Loader- oder Injector-Skript zur Interpretation an ihn übergeben. Dieses Skript führt dann den Banking-Trojaner aus. Abbildung 6 zeigt den gesamten Prozess.

 

Abbildung 6. Die häufigste Ausführungsmethode von Mekotio

Mekotio ist nicht der einzige lateinamerikanische Banking-Trojaner, der diese Methode einsetzt, aber sie wird bevorzugter eingesetzt als bei den Konkurrenten.

Kryptographie

Der Algorithmus zum Verschlüsseln von Zeichenfolgen in Mekotios Binärdateien ist im Wesentlichen der gleiche, den Casbaneiro verwendet. Viele Varianten von Mekotio ändern jedoch die Verarbeitung der Daten, bevor sie entschlüsselt werden. Die ersten paar Bytes des fest codierten Entschlüsselungsschlüssels werden möglicherweise ignoriert, ebenso wie einige Bytes der verschlüsselten Zeichenfolge. Einige Varianten codieren verschlüsselte Zeichenfolgen weiter mit base64. Die Einzelheiten dieser Methoden variieren.

C&C Server Kommunikation

SQL-Datenbank als C&C-Server

Einige Varianten von Mekotio basieren ihr Netzwerkprotokoll auf Delphi_Remote_Access_PC, ebenso wie Casbaneiro. Ist dies nicht der Fall, verwendet Mekotio eine SQL-Datenbank als eine Art C&C-Server. Diese Technik ist in Bezug auf lateinamerikanische Banking-Trojaner nicht ungewöhnlich. Anstelle eines SELECT-Befehls scheint sich Mekotio auf die Ausführung von SQL-Prozeduren zu verlassen. Auf diese Weise ist nicht sofort klar, wie die zugrunde liegende Datenbank aussieht. Die Anmeldezeichenfolge ist jedoch weiterhin in der Binärdatei fest codiert.

Generierung von C&C-Serveradressen

Wir haben drei verschiedene Algorithmen beobachtet, wie Mekotio die Adresse seines C&C-Servers erhält. Wir beschreiben sie unten in der chronologischen Reihenfolge, in der wir ihnen begegnet sind.

Basierend auf fest codierten Listen von „gefälschten Domains“

Die erste Methode basiert auf zwei fest codierten Domänenlisten – eine zum Generieren der C&C-Domäne und eine für den Port. Eine zufällige Domain wird aus beiden Listen ausgewählt und aufgelöst. Die IP-Adresse wird weiter geändert. Beim Generieren der C&C-Domäne wird eine fest codierte Zahl vom letzten Oktett der aufgelösten IP-Adresse abgezogen. Beim Generieren des C&C-Ports werden die Oktette zusammengefügt und wie eine Zahl behandelt. Aus Gründen der Übersichtlichkeit haben wir beide Algorithmen in Python implementiert (siehe Abbildung 7). Beachten Sie, dass dieser Ansatz dem von Casbaneiro (in der Hyperlink-Analyse als Methode 5 gekennzeichnet) überraschend ähnlich ist.

Abbildung 7. Code zum Generieren von C & C-Domänen und -Ports aus fest codierten Domänenlisten

Basierend auf der aktuellen Stunde

Der zweite Ansatz verwendet eine DGA basierend auf der aktuellen Ortszeit (daher beeinflusst die Zeitzone des Opfers das Ergebnis). Der Algorithmus verwendet den aktuellen Wochentag, den Tag des Monats und die Stunde und generiert daraus eine einzelne Zeichenfolge. Anschließend wird die MD5 dieser Zeichenfolge berechnet, die als hexadezimale Zeichenfolge dargestellt wird. Das Ergebnis bildet zusammen mit einem fest codierten Suffix die C & C-Serverdomäne (ihr Port ist in der Binärdatei fest codiert). Abbildung 8 zeigt unsere Python-Implementierung dieses Algorithmus.

Abbildung 8. Code zum Generieren der C & C-Domäne basierend auf der aktuellen Stunde

Basierend auf dem aktuellen Tag

Der dritte Algorithmus ist dem zweiten etwas ähnlich. Er unterscheidet sich im Format der aus der Ortszeit erstellten Zeichenfolge und in der Tatsache, dass jeden Tag ein anderes Suffix verwendet wird. Darüber hinaus wird der C&C-Port auf ähnliche Weise generiert. Die Python-Neuimplementierung des Codes ist erneut in Abbildung 9 dargestellt.

Abbildung 9. Code zum Generieren der C&C-Domäne und des Ports basierend auf dem aktuellen Tag

Mehrere gleichzeitige Varianten?

Wir haben bereits erwähnt, dass Mekotio ähnlich wie andere lateinamerikanische Banking-Trojaner einem eher chaotischen Entwicklungszyklus folgt. Daneben gibt es jedoch Indikatoren dafür, dass mehrere Varianten von Mekotio gleichzeitig entwickelt werden.

Die beiden Hauptindikatoren sind die interne Versionierung und das Format der Zeichenfolge, die zum Exfiltrieren der Informationen über die Maschine des Opfers, von Mekotio verwendet wird. Wir haben vier verschiedene Versionsschemata identifiziert:

  1. Nummerierung (001, 002, 072, 39A,…)
  2. Version nach Datum (01-07, 15-06, 17-10, 20-09,…)
  3. Version bis zum vollen Datum (02_03_20, 13_03_20, 26_05_20,…)
  4. Nummerierung und Datum kombiniert (103-30-09, 279-07-05, 293-25-05,…)

Jedes dieser Schemata ist einem bestimmten Format der exfiltrierten Datenzeichenfolge zugeordnet. Da wir mehrere dieser Schemata gleichzeitig sehen, glauben wir, dass es möglicherweise mehrere Malware-Akteure gibt, die verschiedene Varianten von Mekotio verwenden.

Fazit

In diesem Blog-Beitrag haben wir Mekotio analysiert, einen lateinamerikanischen Banking-Trojaner, der seit mindestens 2015 aktiv ist. Wie bei den anderen in dieser Serie beschriebenen Banking-Trojanern weist Mekotio gemeinsame Merkmale für diese Art von Malware auf, z.B., dass er in Delphi geschrieben ist, gefälschte Popup-Fenster verwendet und mit Backdoor-Funktionen speziell für spanisch- und portugiesisch-sprachige Länder versehen ist.

Wir haben uns auf die interessantesten Funktionen dieses Banking-Trojaners konzentriert, wie seine primäre Ausführungsmethode durch Missbrauch des legitimen AutoIt-Interpreters, die Verwendung einer SQL-Datenbank als C&C-Server oder die verschiedenen Methoden, mit denen Mekotio die Adresse seines C&C-Servers generiert.

Wir haben auch einige Funktionen erwähnt, die Casbaneiro überraschend ähnlich sind.

 

Bei Fragen kontaktieren Sie uns unter bedrohlichintel@eset.com. Kompromittierungsindikatoren finden Sie auch in unserem GitHub-Repository.

Indicators of Compromise (IoCs)

Hashes

Mekotio samples

SHA-1DescriptionESET detection name
AEA1FD2062CD6E1C0430CA36967D359F922A2EC3Mekotio banking trojan (SQL variant)Win32/Spy.Mekotio.CQ
8CBD4BE36646E98C9D8C18DA954942620E515F32Mekotio banking trojanWin32/Spy.Mekotio.O
297C2EDE67AE6F4C27858DCB0E84C495A57A7677Mekotio banking trojanWin32/Spy.Mekotio.DD
511C7CFC2B942ED9FD7F99E309A81CEBD1228B50Mekotio banking trojanWin32/Spy.Mekotio.T
47C3C058B651A04CA7C0FF54F883A05E2A3D0B90Mekotio banking trojanWin32/Spy.Mekotio.CD

Legitimate AutoIt interpreter being abused

SHA-1DescriptionESET detection name
ACC07666F4C1D4461D3E1C263CF6A194A8DD1544AutoIt v3 Script interpreterclean

Network communication

  • User-Agent: “MyCustomUser”, “4M5yC6u4stom5U8se3r” (and other variations)
  • HTTP verb: “111SA”

Bitcoin wallets

  • 1PkVmYNiT6mobnDgq8M6YLXWqFraW2jdAk
  • 159cFxcSSpup2D4NSZiuBXgsGfgxWCHppv
  • 1H35EiMsXDeDJif2fTC98i81n4JBVFfru6

MITRE ATT&CK techniques

Note: This table was built using version 7 of the MITRE ATT&CK framework.

TacticIDNameDescription
Initial AccessT1566.002Phishing: Spearphishing LinkMekotio distribution chains start with a malicious link in an email.
ExecutionT1059Command and Scripting InterpreterMekotio is most commonly executed by abusing the legitimate AutoIt interpreter.
T1059.001Command and Scripting Interpreter: PowerShellMekotio uses PowerShell to execute its distribution chain stages.
T1059.005Command and Scripting Interpreter: Visual BasicMekotio uses VBScript to execute its distribution chain stages.
PersistenceT1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderMekotio ensures persistence by using a Run key or creating a LNK file in the startup folder.
Defense EvasionT1218Signed Binary Proxy ExecutionMekotio is executed by running a legitimate AutoIt interpreter and passing a loader script for it to interpret.
Credential AccessT1555.003Credentials from Password Stores: Credentials from Web BrowsersMekotio steals credentials from the Google Chrome browser.
DiscoveryT1010Application Window DiscoveryMekotio discovers various security tools and banking applications based on window names.
T1083File and Directory DiscoveryMekotio discovers banking protection software based on file system paths.
T1518.001Software Discovery: Security Software DiscoveryMekotio detects the presence of banking protection products.
T1082System Information DiscoveryMekotio collects information about the victim's machine, such as firewall status and Windows version.
CollectionT1056.001Input Capture: KeyloggingMekotio is capable of capturing keystrokes.
Command and ControlT1568.002Dynamic Resolution: Domain Generation AlgorithmsMekotio generates its C&C domain using a DGA.
T1568.003Dynamic Resolution: DNS CalculationMekotio uses an algorithm to modify the resolved IP address to obtain the actual C&C address.
T1095Non-Application Layer ProtocolMekotio’s network protocol in variants not using SQL is based on Remote_Delphi_Access_PC.
ExfiltrationT1041Exfiltration Over C2 ChannelMekotio sends the data it retrieves to its C&C server.

[1] Anti-fraud solutions used very frequently in Latin America.
[2] Common HTTP verbs are GET and POST.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren