2015 yılından beri aktif durumda olan Mekotio truva atı ESET’in araştırdığı öbür bankacılık truva atları üzere Delphi’de yazılmış olma, uydurma açılır pencereler kullanma ve art kapı fonksiyonelliği içerme üzere bu tip makus gayeli yazılımların ortak özelliklerini barındırıyor. Daha az kuşkulu görünmek ismine Mekotio belirli bir ileti kutusu kullanarak bir güvenlik güncellemesini taklit etmeye çalışıyor.
Mekotio truva atının kurbanlarında erişim sağlayabileceği birçok teknik detay kelam konusu. Bu teknik detaylar güvenlik duvarı yapılandırmaları, yönetici ayrıcalıkları, Windows işletim sistemi sürümü hakkında bilgileri ve dolandırıcılığa karşı kurulan eserlerin ve makus emelli yazılımlara karşı tahlillerin listesini içeriyor. Hatta bir komut, C:Windows ağacındaki tüm belgeleri ve klasörleri kaldırmaya çalışarak kurbanın makinesini çökertmeyi bile deniyor.
Mekotio spam yoluyla dağılıyor
Makûs maksatlı yazılım, genel olarak spam yoluyla dağıtılıyor. 2018’den beri araştırmacılar bu aile tarafından kullanılan 38 farklı dağıtım zinciri gözlemledi. Bu zincirlerin birçok birkaç evreyi içeriyor ve bankaları gaye alan Latin Amerikan truva atlarının bilinen davranışı olarak bir ZIP arşivi indiriyor.
Özellikleri sıklıkla değiştiğinden karmaşık bir gelişim yolu izliyor
Mekotio’ya odaklanan araştırma takımını yöneten ESET araştırmacısı Robert Šuman şu bilgileri paylaştı. “Araştırmacılar için bu makus maksatlı yazılım ailesinin en yeni varyantlarının kayda bedel en değerli özelliği, bir komut ve denetim sunucusu olarak SQL bilgi tabanı kullanması ve birincil yürütme sistemi olarak yasal AutoIt yorumlayıcıyı nasıl suistimal ettiğidir. Mekotio, özelliklerinin sıklıkla değişmesiyle hayli karmaşık bir gelişim yolu izliyor. Dahili versiyonlamasına dayanarak birden çok varyantının birebir anda geliştiğine inanıyoruz.”
Hürriyet