España está entre los países afectados por el troyano bancario Mekotio
- Actualidad
Los desarrolladores de este malware, que intenta hacerse pasar por una actualización de seguridad, utilizan diferentes versiones para robar bitcoins, credenciales de acceso a webs e incluso para inutilizar dispositivos eliminando todas las carpetas y archivos del directorio Windows.
En sus labores de investigación sobre troyanos bancarios procedentes de Latinoamérica, una de las amenazas más notorias en los últimos meses, el laboratorio de ESET destaca la incidencia de Mekotio, un troyano bancario que está afectando especialmente a países de habla hispana y portuguesa, incluida España. Este malware realiza acciones típicas de los backdoors, entre las que se incluyen la toma de capturas de pantalla, el reinicio de las máquinas afectadas, las restricciones de acceso a webs legítimas de banca online y, en algunas variantes, incluso el robo de bitcoins o la extracción de credenciales almacenadas en Google Chrome.
Activo desde al menos 2015, Mekotio comparte características con otros troyanos bancarios, como el estar escrito en Delphi, utilizar ventanas emergentes y contar con funcionalidades de backdoor. Para no ser descubierto, intenta hacerse pasar por una actualización de seguridad mediante la aparición en pantalla de un mensaje específico. Entre la información técnica a la que accede Mekotio en los dispositivos de sus víctimas se encuentra información acerca de la configuración del firewall, los privilegios de administrador, la versión de Windows o la lista de productos y soluciones antifraude y antimalware instalados. Uno de los comandos incluso intenta inutilizar el sistema eliminando todas las carpetas y archivos del directorio C:\Windows.
Mekotio se distribuye sobre todo mediante spam. Desde 2018, ESET ha encontrado 38 cadenas de distribución diferentes, la mayoría de las cuales consisten en diferentes pasos que concluyen con la descarga de un archivo comprimido ZIP, una de las características comunes a los troyanos bancarios latinoamericanos.
“La característica más importante de las nuevas variantes de esta familia es el uso de una base de datos SQL como servidor de mando y control, así como la forma en la que utiliza el intérprete AutoIt como su primer método de ejecución”, confirma Robert Šuman, investigador de ESET. “Mekotio ha seguido un camino bastante caótico en su desarrollo, con funciones modificadas muy a menudo. De hecho, basándonos en su historial de versiones interno, creemos que existen diferentes variantes que se desarrollan al mismo tiempo”.
