El troyano bancario Mekotio se reactiva en España: así funciona la nueva versión

  • Actualidad

malware alerta

Los investigadores de Check Point alertan de la reaparición del troyano Mekotio, que está actuando en España, Brasil, Chile y Perú, e instan a extremar las precauciones. Su reactivación se ha producido después d que la Guardia Civil detuviese a 16 sospechosos de distribuir este malware el pasado mes de julio.

Recomendados: 

Atención pública al ciudadano: hacia una relación de 360 grados Evento

Identificación de ataques web Leer

Check Point ha detectado y bloqueado en las últimas semanas más de 100 ciberataques dirigidos a países latinoamericanos que aprovechan una forma evolucionada de este troyano bancario, que ha reaparecido con actividad en España, Brasil, Chile y Perú.

Según la firma de ciberseguridad, se cree que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos. Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.

Check Point Research supone que los principales grupos de ciberdelincuentes operan desde Brasil y que han estado colaborando con las bandas españolas para distribuir malware. La detención frenó la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes.

Las recientes observaciones de Check Point Research revelan que estos ciberdelincuentes siguen activos, distribuyendo una nueva versión de este troyano con nuevas y mejoradas capacidades de ocultación y técnicas de evasión.

La nueva versión
La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido. Los emails captados por los investigadores reclaman a la víctima objetivo un "recibo fiscal digital pendiente de presentación". Cuando las víctimas hacen clic en el enlace, se descarga un archivo zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene estos elementos inéditos: un archivo batch más sigiloso con al menos dos capas de ofuscación, un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria, y usa Themida v3 para empaquetar la carga útil DLL final.

En los últimos tres meses, se han visto aproximadamente 100 ataques que utilizan nuevas y sencillas técnicas de ofuscación, con la ayuda de un cifrado de sustitución, para ocultar el primer módulo del ataque. Esta sencilla técnica de ocultación permite que no sea detectado por la mayoría de las soluciones de protección.

Extremar la precaución
Por eso, Check Point, a través de su director técnico para España y Portugal, Eusebio Nieva, insta a los usuarios de las regiones objetivo conocidas de Mekotio a que utilicen la autenticación de dos factores siempre que esté disponible y a que tengan cuidado con los dominios parecidos, los errores ortográficos en los emails o las páginas web y los remitentes de correo electrónico desconocidos.