Trojan bancário usa phishing em espanhol, scripts em lote ofuscados, PowerShell em memória e AutoHotkey para carregar DLL voltada a credenciais bancárias na América Latina.
| Componente | Trojan bancário Mekotio, entregue por arquivo ZIP, script em lote, PowerShell, interpretador AutoHotkey, script AHK e DLL de carga final. |
| Vetor | E-mail de phishing em espanhol sobre recibo fiscal digital pendente, com link para arquivo ZIP malicioso ou ZIP anexado que leva à execução de script em lote. |
| Impacto | Roubo de credenciais de portais bancários eletrônicos e coleta de senhas por meio da DLL principal do Mekotio. |
| Prioridade | Bloquear anexos e links ZIP suspeitos, caçar execução encadeada de batch, PowerShell e AutoHotkey, revisar persistência em HKCU\Software\Microsoft\Windows\CurrentVersion\Run e conter hosts afetados. |
| Artefatos | Arquivos em lote com nomes iniciados por Contacto, diretórios aleatórios em ProgramData, atalho em AppData, arquivo de marcação com a data atual e ZIP secundário com DLL, AutoHotkey e script AHK. |
| IoCs | Exemplos defangados observados incluem 13[.]66[.]15[.]167 e ubbencion[.]australiaeast[.]cloudapp[.]azure[.]com; indicadores devem ser tratados como amostras históricas e validados contra telemetria local. |
O Mekotio reapareceu em uma campanha direcionada a países da América Latina e à Espanha com uma cadeia de infecção remodelada para reduzir detecção estática e dificultar a leitura direta do primeiro estágio. A atividade foi observada depois da prisão de 16 pessoas anunciada pela Guarda Civil espanhola em julho de 2021, ligada à distribuição do malware. A interrupção atingiu operadores na Espanha, mas o fluxo malicioso foi rapidamente ajustado, com sinais de continuidade dos grupos centrais responsáveis pela operação. O contexto técnico aponta o Brasil como um dos países relevantes tanto no recorte de alvos quanto na hipótese de origem de operadores principais, além de Chile, México, Espanha e Peru como países aceitos pela checagem de localização do script.
A campanha não depende de uma técnica avançada de exploração de vulnerabilidade. O ponto inicial é engenharia social: mensagens em espanhol simulam a existência de um recibo fiscal digital pendente e induzem a vítima a abrir um link ou arquivo ZIP. O arquivo compactado carrega um script em lote que inicia a execução por camadas. Esse primeiro script aplica uma cifra de substituição simples e, depois, recompõe comandos por variáveis de ambiente. O objetivo é esconder a intenção real do estágio inicial, atrasar análise e reduzir correspondência com assinaturas antivírus. Em um período de três meses, cerca de 100 ataques foram associados a esse novo padrão de ofuscação.
A infecção começa quando o usuário interage com o conteúdo do ZIP entregue pelo phishing. O arquivo em lote extraído frequentemente usa um nome iniciado por Contacto e contém duas camadas de ofuscação. A primeira troca caracteres com base em uma tabela de substituição; a segunda distribui partes do comando em variáveis de ambiente e depois concatena os trechos. O resultado operacional é a chamada de PowerShell com parâmetros voltados a reduzir interação visual, contornar restrições de política de execução e carregar código remoto em memória. O comando completo não é necessário para defesa e deve ser tratado como comando operacional omitido; o ponto defensivo é a combinação de batch ofuscado, PowerShell sem janela e download de script remoto.
Depois que o PowerShell é carregado em memória, o script executa verificações de ambiente antes de prosseguir. A primeira checagem consulta ipinfo[.]io para determinar a localização do sistema. Se o host não estiver em Brasil, Chile, México, Espanha ou Peru, a execução é encerrada. Em seguida, o script verifica se está em ambiente virtual comparando o modelo do computador com strings associadas a VMware e máquinas virtuais genéricas. Essa etapa funciona como mecanismo simples de evasão contra sandboxes e ambientes de análise. O script também cria um arquivo vazio cujo nome corresponde à data corrente; se esse arquivo já existir, a execução é interrompida, evitando repetição do fluxo no mesmo host.
Quando as pré-condições são satisfeitas, o script cria em ProgramData um diretório com nome aleatório, geralmente com oito caracteres, e baixa para esse local um segundo ZIP com nome também aleatório. Esse arquivo compactado contém três componentes: a DLL do Mekotio, o interpretador AutoHotkey e um script AHK. Após a extração, os arquivos são renomeados aleatoriamente. A distinção entre eles é feita por tamanho, e a extensão é ajustada conforme o tipo inferido. Em seguida, um atalho é criado em AppData para iniciar o AutoHotkey com o script AHK e a DLL como argumentos. A persistência é configurada por um valor em HKCU\Software\Microsoft\Windows\CurrentVersion\Run, mantendo a execução no contexto do usuário.
O script AHK chama a quarta função exportada da DLL usando DllCall. Essa escolha faz a carga maliciosa parecer parte da execução do AutoHotkey, uma ferramenta legítima de automação para Windows. A técnica não torna o payload invisível, mas desloca a atenção para um binário que pode existir em ambientes reais e reduz a leitura imediata da cadeia como execução direta de uma DLL bancária. A DLL final concentra as capacidades conhecidas do Mekotio, incluindo roubo de credenciais de portais bancários eletrônicos e coleta de senhas. O desenho modular permite alterar apenas o invólucro, a ofuscação ou o carregador sem reescrever toda a carga final.
A superfície exposta é composta principalmente por estáções Windows de usuários que recebem mensagens de e-mail em espanhol e têm permissão para baixar, extrair e executar conteúdo de arquivos ZIP. O abuso ocorre no espaço do usuário, com persistência em chave de registro de usuário atual, criação de artefatos em AppData e uso de ProgramData para armazenar componentes baixados. Não há indicação de exploração de falha de software, movimento lateral confirmado ou elevação de privilégio no material analisado; o risco documentado está na execução inicial por phishing e na permanência suficiente para carregar a DLL bancária.
Ambientes com usuários que acessam portais bancários eletrônicos são o foco mais sensível, porque a carga final foi descrita com funções de roubo de credenciais bancárias e de senhas. A filtragem geográfica restringe a execução a Brasil, Chile, México, Espanha e Peru, o que torna esses países prioritários para detecção e resposta. O uso de AutoHotkey como intermediário amplia a superfície de análise: a presença do interpretador não deve ser tratada automaticamente como maliciosa, mas seu uso com scripts recém-extraídos, DLLs renomeadas e persistência por Run Key é um padrão de alto risco.
- Estáções Windows que executaram ZIP recebido por e-mail ou link de phishing relacionado a recibo fiscal digital.
- Usuários em Brasil, Chile, México, Espanha e Peru, conforme lógica de geolocalização do script.
- Diretórios ProgramData e AppData com nomes aleatórios, arquivos recém-extraídos e atalhos associados ao AutoHotkey.
- Chave
HKCU\Software\Microsoft\Windows\CurrentVersion\Runcom valor novo apontando para execução de AutoHotkey, script AHK e DLL.
A caça deve começar por correlação de e-mail, endpoint e registro. No e-mail, procure mensagens em espanhol que façam referência a recibo fiscal digital pendente, anexos ZIP ou links para download de ZIP. No endpoint, a cadeia mais importante é a execução de um script em lote ofuscado seguido por PowerShell carregando conteúdo remoto em memória. Mesmo quando o comando estiver parcialmente mascarado por variáveis de ambiente ou substituição de caracteres, a sequência de processo pai e filho ainda tende a ser visível: cliente de e-mail ou navegador, extração de ZIP, batch, PowerShell e criação de arquivos em ProgramData.
A telemetria de processo deve destacar PowerShell iniciado com janela reduzida ou oculta, política de execução contornada e download de string remota. O conteúdo exato do comando deve ser tratado como artefato de investigação, não como instrução operacional. A seguir, busque criação de diretório aleatório em ProgramData, download de ZIP secundário, extração de três arquivos, renomeação por nomes aleatórios e criação de atalho em AppData. A execução de AutoHotkey com argumentos apontando para um script AHK e uma DLL recém-criados é sinal particularmente forte, principalmente quando ocorre logo após interação com ZIP vindo de e-mail.
A persistência fornece outro ponto de validação. Valores novos na chave Run do usuário, quando apontam para AutoHotkey, script AHK ou caminhos incomuns em AppData e ProgramData, devem ser revisados. Em rede, conexões para serviços de geolocalização como ipinfo[.]io imediatamente antes do download de componentes podem indicar triagem de alvo. Conexões para infraestrutura defangada semelhante a 13[.]66[.]15[.]167 ou domínios em cloudapp[.]azure[.]com devem ser verificadas com cuidado, sem assumir que todo uso da nuvem é malicioso. O valor está na combinação temporal entre e-mail, extração, PowerShell, geolocalização, download de ZIP e AutoHotkey.
- Processos batch com ofuscação por substituição de caracteres e recomposição de comandos por variáveis de ambiente.
- PowerShell iniciado por batch com download de script remoto e execução em memória.
- Consulta a
ipinfo[.]ioseguida por criação de arquivo vazio com nome baseado na data atual. - Diretório aleatório em ProgramData contendo DLL, interpretador AutoHotkey e script AHK renomeados.
- Atalho em AppData iniciando AutoHotkey com script AHK e DLL como argumentos.
- Valor novo em Run Key de usuário apontando para a cadeia AutoHotkey, AHK e DLL.
A resposta deve priorizar contenção do endpoint, preservação de evidências e remoção da persistência. Hosts que apresentarem a cadeia batch, PowerShell e AutoHotkey devem ser isolados para impedir comunicação adicional e coleta de credenciais. Em seguida, colete lista de processos, árvore de execução, arquivos recentes em ProgramData e AppData, valores de Run Key do usuário e histórico de e-mail associado. A remoção deve incluir o valor de persistência, o atalho criado, o diretório aleatório com os três componentes extraídos e o arquivo de marcação por data, mas apenas depois da coleta mínima necessária para análise.
Como o vetor inicial é phishing, a mitigação depende de controles de correio e de endpoint trabalhando juntos. Bloqueie ou coloque em análise anexos ZIP inesperados e links que entreguem compactados, especialmente quando a mensagem induz ação sobre documentos fiscais. A execução de scripts em lote extraídos de ZIP deve ser restrita quando possível, e PowerShell deve ter registro ampliado, incluindo linha de comando, transcrição quando aplicável e eventos de criação de processo. AutoHotkey pode ser legítimo, então a política mais prática é permitir uso conhecido e bloquear execuções novas com scripts e DLLs em caminhos temporários, AppData ou ProgramData sem justificativa operacional.
Para usuários afetados ou expostos, credenciais de portais bancários e senhas usadas no host devem ser consideradas em risco se a DLL final foi executada. A rotação deve ser feita a partir de dispositivo limpo, com revisão de autenticação multifator e monitoramento de acessos anômalos. Em ambientes corporativos, valide se houve repetição da campanha em caixas de correio, outros endpoints com o mesmo anexo ou URL e hosts com artefatos semelhantes. Não há indicação concreta de movimento lateral no material analisado; portanto, a investigação deve começar pelo endpoint e pelas contas do usuário, expandindo apenas quando telemetria local sustentar essa necessidade.
- Isolar máquinas com execução encadeada de ZIP, batch, PowerShell e AutoHotkey.
- Remover persistência em
HKCU\Software\Microsoft\Windows\CurrentVersion\Runapós coleta de evidências. - Bloquear ou submeter a sandbox anexos ZIP e links de download de ZIP em mensagens fiscais inesperadas.
- Registrar criação de processo, linha de comando de PowerShell e execução de AutoHotkey com argumentos incomuns.
- Rotacionar credenciais bancárias e senhas acessadas em hosts onde a DLL do Mekotio tenha sido carregada.
- Criar detecções por comportamento combinando ProgramData aleatório, AppData com atalho, script AHK e DLL recém-extraída.
0 Comentários