Mekotio, es un malware que se vio por primera vez en 2015 y que en la actualidas continua activo en varios países de América Latina. Este malware tiene como objetivo robar información financiera de las personas, principalmente credenciales para acceder a cuentas bancarias o robar datos de tarjetas de crédito.
Gente especializada de ESET analizó una campaña reciente dirigida a México que intentaba infectar a las víctimas con este malware.
¿Qué es Mekotio?
Es un troyano bancario que integra la lista de América Latina, este contiene una familia de programas maliciosos que cuentan con la capacidad de realizar varias acciones maliciosas pero se destacan por suplantat la identidad de bancos mediantee ventanas emergentes falsas y de esta manera robar información sensible de las vícitimas. Personas especializases de ESET han analizado detalladamente varias de estas familias de malware, que si bitne tiene como principal objetico el robar información financiera, también cuenta con tras capacidades.
En el caso de Mekotio, en lo que va del presente año (2023) se detectaron más de 70 variantes de este troyano bancario. En el 2021 las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas a los troyanos bancarios Mekotio y Grandoreiro, se cree que los desarrolladores de Mekotio colaboraban con otros grupos de cibercriminales, lo que explica que siga tan activo este malware. En América Latina, las detecciones de los sistemas de ESET muestran que Argentina (52%) es el país con más actividad de este Mekotio, seguido por México (17%), Perú (12%), Chile (10%) y Brasil (3%).
Imágen 1.
Detecciones de Mekotio en Latinoamérica (2023).
No solo en los países de latinoamerica se ha registrado detección de esta amenaza, España, Italia y Ucranía son parte de esta lista, lo que muestra que continuaron expandiendo sus campañas..
Campaña dirigida a México.
Los investigadores de ESET recientemente analizaron una campaña que distribuye Mekotio a través de correos electrónicos (malspam), que utilizan como señuelo la emisión de una supuesta factura y suplantan la identidad de una reconocida empresa multinacional de México.
El cuerpo del correo contiene la instrucción de “abrir en una computadora con Windows”, esto probablemente está relacionado a que el malware está orientado a este sistema operativo.
Imágen 2.
Correo electrónico que llegó a una persona de México que contiene un enlace que descarga el malware Mekotio.
El mensaje incluye un enlace que al hacer clic descarga un archivo comprimido (ID-FACT.1684803774.zip) que simula ser la supuesta factura, pero al ser descomprimido se extrae un archivo de instalación de Windows (MSI) cuyo nombre es FACT646c1.msi. este archivo contiene varios elementos, entre ellos, un archivo DLL (Binary.tlsBpYCH.dll) que contiene una variante del malware Mekoti, en este caso es detectada por las soluciones de seguridad de ESET como Win32/Spy.Mekotio.GO.
Como mencionamos al principio, además de robar información financiera, Mekotio es un troyano que es capaz de realizar otras acciones maliciosas en el equipo comprometido. Por ejemplo, recopilar información como el sistema operativo que corre en el equipo de la víctima, soluciones antifraude o antimalware instaladas. Además, el malware intenta mantenerse oculto en el equipo infectado utilizando llaves de registro de arranque y ofrece a los atacantes capacidades típicas de backdoor.
¿Cómo estar protegidos de los troyanos bancarios?
Las campañas de propagación de los troyanos bancarios utilizan componentes de Ingeniería Social para persuadir a los usuarios mediante engaños para la descarga y ejecución de los programas maliciosos, en este caso se trata de un correo electrónico que llega de forma inesperada haciendo referencia a una factura. Por lo tanto, la primera recomendación es no hacer clic en enlaces o archivos adjuntos que llegan de manera inesperada.
Por otra parte, contar en la computadora o en el smartphone con un programa o aplicación de seguridad que ofrezcan herramientas antispam que bloqueen y eliminen estos correos de malspam y en todo caso que detecten el programa malicioso y eviten su instalación.
