# Mekotio (Melcoz) > [!danger] Banking Trojan LATAM - Ativo desde 2015 > Mekotio (Melcoz / Culebra) e um banking trojan Delphi ativo desde 2015 mirando o setor financeiro do Brasil, Chile, Mexico, Espanha e Peru. Pertence ao "Quarteto LATAM" de banking trojans com [[s0373-astaroth|Astaroth/Guildma]], [[casbaneiro|Casbaneiro]] e Grandoreiro. Ressurgiu com nova cadeia de infecção em 2024, confirmando persistência operacional de quase uma decada. ## Visão Geral **Mekotio** (rastreado como **Melcoz** pelo Trend Micro e **Culebra** pelo CrowdStrike) e um banking trojan escrito em **Delphi** ativo desde pelo menos 2015, com foco em Brasil, Chile, Mexico, Espanha e Peru. Em julho de 2024, o Trend Micro documentou uma **onda de novos ataques** com cadeia de infecção refinada usando AutoHotKey como loader de segundo estagio, substituindo as cadeias anteriores baseadas em PowerShell/VBScript. O Mekotio e parte do conjunto de banking trojans LATAM com origens e TTPs relacionadas: todas as familias usam Delphi, pop-ups falsos de overlay bancario, DLL sideloading e LOLBins, com possível sobreposicao de operadores ou compartilhamento de infraestrutura. Em julho de 2021, autoridades espanholas prenderam **16 individuos** ligados a uma rede criminosa que distribuia Grandoreiro e Mekotio para usuarios europeus. O grupo continuou operando com outros operadores após as prisoes. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan | | **Linguagem** | Delphi (payload) + AutoHotKey/AutoIt (loader) | | **Primeira observacao** | 2015 | | **Status** | Ativo - ressurgimento documentado 2024 | | **Rastreamento** | Melcoz (Trend Micro), Culebra (CrowdStrike), S0530 (MITRE) | | **Alvos principais** | Usuarios bancarios no Brasil, Chile, Mexico, Espanha | ## Como Funciona **Estagio 1 - Phishing fiscal:** E-mail imitando orgao fiscal do pais alvo (SAT no Mexico, SII no Chile, Receita Federal no Brasil, AEAT na Espanha) com link para download. O link aponta para armazenamento em nuvem (AWS S3, Google Drive) que entrega um arquivo ZIP ou PDF com link para MSI. **Estagio 2 - MSI com DLL Sideloading:** O MSI instalador executa CustomActions que: 1. Verifica presenca de um diretorio com nome de usuario em `C:\Users\<USER>` como killswitch (se presente, encerra sem infectar - mecanismo anti-reinfecção). 2. Extrai um binario legitimo (interprete AutoHotKey ou AutoIt) junto com uma DLL maliciosa (`vstdlib_s.dll` ou similar) em uma pasta temporaria. 3. O binario legitimo, ao ser executado, carrega a DLL maliciosa via DLL sideloading (T1574.001) devido a ordem de busca do Windows. **Estagio 3 - Anti-análise e geolocalização:** O componente `PSVirt32.dll` realiza verificacoes: - Detecta maquinas virtuais (VirtualBox, VMware, Wine, VPC) via chaves de registro. - Verifica locale do sistema para confirmar que a vitima esta no pais alvo (Brasil, Chile, Mexico, Espanha, Peru). - Detecta ferramentas de AV instaladas. Se qualquer verificação falhar, o malware encerra silenciosamente. **Estagio 4 - Payload Delphi e Banking Monitor:** O payload Delphi principal monitora jánelas abertas via Application Window Discovery (T1010). Ao detectar um titulo de jánela contendo nome de banco alvo: - Exibe **pop-up falso** de overlay imitando o banco para captura de credenciais, OTPs, CVV e PIN. - Ativa keylogging continuo (T1056.001). - Inicia captura periodica de tela (T1113). - Substitui enderecos de criptomoedas copiados (T1115 - clipboard hijacking). **C2 e Persistência:** Comúnicação com servidor C2 via protocolo customizado (T1095), com alguns modelos usando DGA para resolução dinâmica de dominios (T1568.002). Persistência via chave Run no registro (T1547.001) ou Scheduled Task. ## Attack Flow ```mermaid graph TB A["📧 Phishing Fiscal<br/>SAT / SII / Receita Federal<br/>Link para ZIP/MSI no cloud"] --> B["📦 MSI Installer<br/>CustomAction extrai binarios<br/>Killswitch de diretorio"] B --> C["🔧 DLL Sideloading<br/>AutoHotKey + vstdlib_s.dll<br/>T1574.001 - DLL hijack"] C --> D["🔍 Anti-análise<br/>VM/AV/locale check<br/>Encerra se sandbox/fora da regiao"] D --> E["👁️ Window Monitoring<br/>Detecta banco alvo aberto<br/>T1010 - App Window Discovery"] E --> F["🏦 Banking Overlay<br/>Pop-up falso imita banco<br/>Captura cred/OTP/CVV"] E --> G["⌨️ Keylogging + Screen<br/>T1056.001 + T1113<br/>Coleta continua"] F --> H["📤 Exfiltração C2<br/>Protocolo customizado<br/>DGA para resiliencia"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef install fill:#e67e22,stroke:#d35400,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef monitor fill:#2980b9,stroke:#1a5276,color:#fff classDef impact fill:#8e44ad,stroke:#7d3c98,color:#fff classDef exfil fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B,C install class D evasion class E monitor class F,G impact class H exfil ``` ## Timeline de Evolução ```mermaid timeline title Mekotio - Evolução 2015-2025 2015 : Primeiras amostras documentadas : Foco inicial em Brasil e Chile 2018 : Expansao para Mexico e Espanha : Cadeias baseadas em PowerShell/VBScript 2020 : ESET documenta familia como Melcoz : Parte da Tetrada de banking trojans LATAM 2021 : 16 presos na Espanha ligados a Grandoreiro/Mekotio : Operacoes continuam com outros operadores 2022 : Introdução de AutoHotKey como loader : Refinamento de verificacoes de geolocalização 2024 : Nova onda documentada por Trend Micro : AHK loader substitui cadeias VBScript anteriores 2025 : Ativo - campanhas documentadas no Chile e Mexico : DGA e protocolo C2 customizado atualizado ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Link em e-mail fiscal para download de MSI | | Execução | [[t1218-007-msiexec\|T1218.007]] | MSI installer com CustomAction para extração | | Execução | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS em cadeias de versoes anteriores | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave Run no registro para persistência | | Evasão | [[t1574-001-dll\|T1574.001]] | DLL sideloading via AutoHotKey/AutoIt | | Evasão | [[t1027-obfuscated-files\|T1027]] | Scripts AHK/VBS altamente ofuscados | | Evasão | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de AV e ambiente sandbox | | Evasão | [[t1082-system-information-discovery\|T1082]] | Verificação de locale e info do sistema | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger durante sessoes bancarias | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela periodicas | | Coleta | [[t1115-clipboard-data\|T1115]] | Substituicao de enderecos de cripto copiados | | C2 | [[t1568-002-domain-generation-algorithms\|T1568.002]] | DGA para resolução dinâmica de C2 | ## Tetrada LATAM Mekotio pertence ao conjunto de banking trojans LATAM com TTPs e possívelmente operadores relacionados: | Familia | Rastreamento | Alvos Primarios | |---------|-------------|-----------------| | [[s0373-astaroth\|Astaroth/Guildma]] | Water Makara | Brasil (91-95%) | | **Mekotio** | Melcoz / Culebra | Brasil, Chile, Mexico, Espanha | | [[casbaneiro\|Casbaneiro]] | Metamorfo / Water Saci | Brasil, Mexico | | Grandoreiro | Grandoreiro | LATAM + Europa (operação LEA 2024) | As familias **compartilham TTPs** (Delphi, pop-ups falsos, DLL sideloading, LOLBins) e possívelmente operadores em contato, observado por algoritmos de criptografia compartilhados. ## Relevância LATAM/Brasil > [!warning] Setores e Paises Afetados > - **[[financial|Financeiro]] - Brasil**: Bancos brasileiros sao alvos diretos; overlay imita Bradesco, Banco do Brasil, Itau, Caixa Economica Federal > - **[[financial|Financeiro]] - Chile**: SAT do Chile como lure; bancos chilenos como Banco de Chile, Santander Chile > - **[[financial|Financeiro]] - Mexico**: SAT mexicano como lure; bancos Banamex, BBVA Mexico > - **[[financial|Financeiro]] - Espanha**: AEAT espanhola como lure; bancos BBVA, Santander, CaixaBank O Mekotio representa uma ameaça persistente para usuarios de internet banking em toda a América Latina. Sua capacidade de verificar geolocalização da vitima antes de ativar os módulos maliciosos reduz exposicao e aumenta a taxa de conversao em vitimas financeiramente relevantes. A resiliencia da familia - active por quase uma decada - reflete a lucratividade do modelo operacional de overlay bancario. ## Detecção e Defesa **Indicadores comportamentais:** - MSI CustomAction baixando arquivos JPG ou MSI de AWS S3/Google Drive. - AutoHotKey (`AutoHotKey.exe`) ou AutoIt (`AutoIt3.exe`) carregando DLLs de diretorios temporarios. - Verificação de diretorio de usuario como killswitch antes de execução. - DLL `vstdlib_s.dll` ou `PSVirt32.dll` carregadas por binarios AutoHotKey/AutoIt. - Pop-ups de overlay em jánelas de navegador durante sessao bancaria ativa. **Regras de detecção:** - Sigma: `proc_creation_win_msiexec_customaction_net.yml` - MSI CustomAction executando downloads. - Sigma: `proc_creation_win_autohotkey_dll_load.yml` - AHK carregando DLLs incomuns. - IoCs públicos: Hash SHA-1 `AEA1FD2062CD6E1C0430CA36967D359F922A2EC3`; User-Agent "MyCustomUser"; HTTP header "111SA". **Mitigacoes:** - Bloquear execução de MSIs de fontes externas via Windows Installer Group Policy. - Monitorar DLL sideloading em aplicativos AutoHotKey/AutoIt com DLLs em diretorios temporarios. - Habilitar Geo-restriction em proxies corporativos para dominios de alta suspeita. - Treinar usuarios sobre lures de e-mails fiscais (Receita Federal, SAT, SII, AEAT). ## Referências - [1](https://attack.mitre.org/software/S0530) MITRE ATT&CK S0530 (Melcoz) - [2](https://www.trendmicro.com/en_us/research/24/g/mekotio-banking-trojan.html) Trend Micro - Mekotio ressurgimento 2024 - [3](https://thehackernews.com/2024/07/experts-warn-of-mekotio-banking-trojan.html) The Hacker News - Mekotio Banking Trojan (2024) - [4](https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/) ESET WeLiveSecurity - Melcoz Analysis (2020) - [5](https://www.sidechannel.blog/en/mekotio-banking-trojan-identified-in-a-new-campaign-against-brazilian-account-holders/) SideChannel - Mekotio nova campanha Brasil - [6](https://blog.scilabs.mx/en/2021/12/21/mekotio-distribution-campaign-targeting-latam/) SCILabs - Mekotio LATAM distribution - [7](https://socprime.com/blog/detection-content-mekotio-banking-trojan/) SOC Prime - Mekotio detection rules