Новая версия банковского трояна, известного как Mekotio, используется в «дикой природе», и аналитики вредоносных программ сообщают, что он использует новый, более скрытый метод заражения. Последняя заметная активность Mekotio датируется летом 2020 года, когда операторы вредоноса развернули его в кампании, нацеленной на страны Латинской Америки. Область таргетинга, по-видимому, такая же, как и в недавних атаках, при этом испанский язык является предпочтительным языком для фишинговых писем, которые запускают цепочку заражения.

Заражение начинается с фишингового сообщения электронной почты, содержащего вложение ZIP, в котором находится скрытый скрипт, который загружает и выполняет PowerShell скрипт. После проведения проверок местоположения и изучения жертвы он загружает второй ZIP-архив. Если проверки подтверждают, что жертва находится в Латинской Америке и вредоносная программа не запущена на виртуальной машине, извлекается второй ZIP-файл, содержащий вредонос Mekotio в форме DLL.

Источник: bleepingcomputer.com