proc-mekotio-banking-trojan-chain

# PROC - Mekotio: Kill Chain Completo do Trojan Bancario Brazil ## Visão Geral O [[mekotio|Mekotio]] e um trojan bancario de origem latino-americana que opera desde 2015, com foco primario em Brasil, Chile, Mexico, Espanha e Portugal. Desenvolvido em Delphi - padrao entre trojans bancarios LATAM -, o Mekotio compartilha infraestrutura e código com [[s0531-grandoreiro|Grandoreiro]] e [[amavaldo|Amavaldo]], sugerindo um ecossistema criminoso organizado com desenvolvimento colaborativo ou venda de componentes entre grupos. Diferente de trojans mais simples, o Mekotio implementa uma cadeia de infecção em múltiplos estagios com componentes modulares: o dropper inicial e diferente do módulo de persistência, que e diferente do módulo de captura bancaria. Essa arquitetura modular permite que o grupo atualize componentes individuais para evadir detecção sem reescrever o malware inteiro. A telemetria da ESET registrou mais de 100 variantes distintas em circulacao simultanea. O vetor de entrada mais comum no Brasil e o phishing fiscal - emails que imitam a Receita Federal, SEFAZ estaduais, ou cobranças de boletos. A sofisticação dos emails aumentou progressivamente: versoes recentes usam HTML renderizado com logos oficiais, assinaturas digitais falsas e dominios que imitam dominios governamentais brasileiros com um caractere diferente. ## Attack Flow ```mermaid graph TB A["📧 Phishing Fiscal PT-BR Receita Federal / SEFAZ / Boleto"] --> B["📦 ZIP com MSI ou BAT Hospedado em Azure/AWS"] B --> C["⚙️ Loader PowerShell Download de componentes adicionais"] C --> D["🔒 Persistência Registry Run key + Tarefa Agendada"] D --> E["🕵️ Monitoramento de Jánelas Bancos brasileiros e espanhois"] E --> F["🖥️ Overlay Bancario Captura de credenciais em tempo real"] F --> G["📡 Exfiltração C2 Credenciais e screenshot"] G --> H["💸 Fraude Financeira TED / PIX / Boleto falso"] ``` ## Passo a Passo ### Fase 1 - Distribuição via Phishing Fiscal Brasileiro A campanha inicia com envio em massa de emails que imitam comúnicacoes oficiais brasileiras ([[t1566-001-spearphishing-attachment|T1566.001]]). Os temas mais usados incluem: - "Sua declaracao IRPF tem pendencias - prazo 48h" - "Nota Fiscal Eletronica rejeitada - regularize agora" - "Boleto bancario vencido - evite protestos" - "SERASA informa restricao em seu CPF/CNPJ" Os emails sao enviados de dominios registrados com aparencia oficial: `receita-federal-br[.]com`, `sefaz-notificação[.]net`, `detran-aviso[.]com.br`. O conteudo HTML e renderizado com logotipos oficiais baixados diretamente dos sites governamentais. ### Fase 2 - Cadeia de Download Multi-Estagios O link no email aponta para um arquivo ZIP hospedado em servicos de nuvem legitimos (Azure Blob, AWS S3, Google Drive) para evitar filtros de reputacao de URL: ``` ZIP └── NotaFiscal_12345.msi (ou .bat + .vbs) └── [instala] → PowerShell loader (obfuscado) └── [baixa] → mekotio_core.dll (DLL principal) └── [baixa] → mekotio_overlay.dll (módulo bancario) ``` O script PowerShell ([[t1059-001-powershell|T1059.001]]) usa múltiplas camadas de ofuscacao: Base64 + XOR + gzip. Ele verifica o idioma do sistema (exige pt-BR ou es-*) antes de prosseguir - técnica anti-sandbox que descarta execucoes em ambientes de análise com locale ingles. ### Fase 3 - Persistência e Evasão A persistência e estabelecida em múltiplos mecanismos para garantir sobrevivencia a remoção parcial: ```powershell # Run key no registro (HKCU - não precisa de admin) Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' ` -Name 'WindowsHelper' -Value 'wscript.exe C:\Users\Public\helper.vbs' # Tarefa agendada disfarçada schtasks /creaté /tn "MicrosoftEdgeUpdaté" /tr "wscript C:\Users\Public\helper.vbs" /sc onlogon ``` O binario principal e armazenado em `%APPDATA%\Microsoft\{GUID_aleatorio}\` com nome que imita binarios legítimos do Windows (`svchost32.exe`, `dllhost64.exe`). Técnica adicional: o Mekotio usa o protocolo [[t1197-bits-jobs|BITS]] (Background Intelligent Transfer Service) para downloads subsequentes, aproveitando um servico Windows legitimo. ### Fase 4 - Fingerprinting e Monitoramento Bancario O Mekotio mantem uma lista hardcoded de mais de 50 instituicoes financeiras brasileiras e espanholas, identificadas por substrings nos titulos de jánelas: ``` "Itaú" | "Bradesco" | "Banco do Brasil" | "Caixa" | "Santander" | "Nubank" | "Inter" | "C6 Bank" | "BTG" | "XP Investimentos" | "Sicoob" | "Sicredi" | "Banco do Nordeste" | "BRB" ``` O monitoramento usa a API Win32 `EnumWindows` + `GetWindowText`, verificando a cada 500ms. Quando detecta uma jánela bancaria, captura screenshot e envia ao C2 para notificar o operador. ### Fase 5 - Overlay e Captura de Credenciais O módulo de overlay do Mekotio projeta jánelas falsas usando a API `SetWindowsHookEx` para capturar keystrokes ([[t1056-input-capture|T1056]]) e `CreateWindowEx` para renderizar interfaces falsas. A jánela falsa e criada como `TopMost` e `Transparent`, impossibilitando que a vitima perceba que esta digitando em um campo falso. Dados capturados: agencia, conta, senha, token SMS/email OTP, data de nascimento e CPF quando solicitados em fluxos de autenticação escalonada. O Mekotio também intercepta o clipboard ([[t1115-clipboard-data|T1115]]) para capturar chavePIX copiadas - técnica de substituicao de chave PIX no momento da transferencia. ### Fase 6 - Comúnicação C2 e Fraude A comunicação com o C2 usa DNS over HTTPS (DoH) para ocultar lookups de dominio e HTTP sobre porta 443 com payload cifrado por XOR. Os operadores recebem notificacoes em tempo real via Telegram bot quando uma sessao bancaria e detectada. A fraude e executada manualmente pelo operador ou semi-automaticamente via scripts pre-programados para cada banco-alvo. ## TTPs Mapeados | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Entrega | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email phishing com ZIP malicioso | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell loader multi-estagio obfuscado | | Execução | [[t1218-011-rundll32\|T1218.011]] | Rundll32 para carregar DLL principal | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Run key no HKCU para inicializacao automatica | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Tarefa agendada disfarçada de servico MS | | Evasão | [[t1027-obfuscated-files\|T1027]] | Multiplas camadas de ofuscacao PowerShell | | Evasão | [[t1497-virtualization-sandbox-evasion\|T1497]] | Verificação de locale pt-BR antes de executar | | Coleta | [[t1056-input-capture\|T1056]] | Keylogging + captura de campos de formulario | | Coleta | [[t1115-clipboard-data\|T1115]] | Intercept de chaves PIX no clipboard | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshot para notificação do operador | | C2 | [[t1571-non-standard-port\|T1071]] | HTTP cifrado com C2 via Telegram bot | ## Detecção **Fontes de dados:** Logs de email gateway, EDR endpoint, proxy/firewall, logs de PowerShell. **Alertas prioritarios:** | Indicador | Severidade | Fonte | |-----------|-----------|-------| | PowerShell com Base64 > 500 chars no corpo | Alta | PowerShell Script Block Log | | MSI baixado de cloud storage pessoal | Alta | Proxy / Web Gateway | | Processo criando Run key em HKCU com path em %APPDATA% | Alta | Sysmon Event ID 13 | | DLL carregada via rundll32 de %APPDATA% | Critica | EDR / Sysmon Event 7 | | Processo acessando GetWindowText em loop | Media | EDR Behavioral | | Novo processo com conexão TCP a IP brasileiro desconhecido | Alta | NDR / Firewall | **Yara simples para detecção:** ``` rule Mekotio_Locale_Check { strings: $locale1 = "pt-BR" ascii $locale2 = "GetSystemDefaultLocaleName" ascii $loader = "powershell" nocase ascii condition: all of them and filesize < 2MB } ``` ## Contexto Brasil/LATAM O Mekotio e um dos trojans bancarios mais persistentes e prevalentes no contexto brasileiro. A INTERPOL coordenou a Operação Agora em 2021, prendendo 16 individuos ligados ao grupo na Espanha, mas as operações continuaram sem interrupcao significativa - evidência de que o grupo e maior que os individuos presos e opera com separacao entre desenvolvedores, distribuidores e operadores de fraude. No Brasil, o Mekotio explora sistematicamente a complexidade do sistema financeiro brasileiro - a variedade de bancos, o ecossistema PIX, os sistemas estaduais de nota fiscal - como isca. A familiaridade com temas regulatorios brasileiros (SEFAZ, Receita Federal, DETRAN) sugere operadores com conhecimento profundo do contexto local ou parceiros brasileiros responsaveis pelas campanhas de phishing. A expansao do PIX em 2020-2021 representou uma nova superficie de ataque explorada imediatamente pelo Mekotio: a captura e substituicao de chaves PIX no clipboard e uma técnica específica ao ecossistema de pagamentos instantaneos brasileiro, sem equivalente em outros paises-alvo do grupo. Organizacoes brasileiras devem priorizar treinamento de usuarios sobre phishing fiscal e implementar soluções EDR com detecção comportamental. ## Referências - [ESET — Mekotio: Opa, bom dia - análise técnica completa](https://www.welivesecurity.com/2020/08/13/mekotio-opa-bom-dia-analysis-latin-american-banking-trojan/) - [Kaspersky LATAM — Banking Trojans in Brazil 2024](https://latam.kaspersky.com/blog/banking-trojans-brazil/34241/) - [INTERPOL — Operação Agora: 16 presos ligados ao Mekotio](https://www.interpol.int/en/News-and-Events/News/2021/INTERPOL-led-operation-takes-down-Mekotio-and-Grandoreiro-banking-trojans) - [Talos Intelligence — LATAM Banking Trojan Ecosystem](https://blog.talosintelligence.com/2020/12/casbaneiro.html) - [Banco Central do Brasil — Alertas de Phishing Fiscal 2024](https://www.bcb.gov.br/detalhenoticia/17451/nota)