El troyano Mekotio apunta a España usando una supuesta factura como cebo

Aunque la cantidad de troyanos bancarios con origen en Latinoamérica que detectamos actualmente no sea tan elevada como la que vimos durante 2020 y buena parte de 2021, esto no significa que los delincuentes de esa región no sigan intentando conseguir nuevas víctimas entre los usuarios españoles. Es el caso de Mekotio, que regresa usando como cebo una supuesta factura electrónica. En esta ocasión, sus autores no suplantan a ninguna empresa como, y solamente se menciona de forma genérica la existencia de una factura emitida.

En el correo no se adjunta ningún archivo, pero sí que proporciona unos enlaces para la descarga de la supuesta factura. Si el usuario pulsa sobre cualquiera de los enlaces, será redirigido a la descarga de un fichero ubicado en un servidor perteneciente al servicio Azure de Microsoft. Como señalan desde ESET, si bien la utilización de estos servicios legítimos para almacenar las muestras de malware hace que la descarga no esté disponible durante mucho tiempo, las horas durante las cuales los usuarios que pulsen sobre los enlaces puedan descargar los archivos son suficientes para infectar numerosos sistemas.

Se trata de un fichero MSI, algo habitual cuando se trata de troyanos bancarios de estas familias. Este fichero es el encargado de actuar como iniciador de la cadena de infección, volcando un ejecutable en el sistema de nombre lakdadh8.exe que será el responsable de iniciar la segunda fase de la infección.

Investigadores de ESET han visto que en la cadena de ejecución del malware se proporcionan parámetros adicionales, aunque estos aparezcan ligeramente ofuscados en codificación BASE64 con el fin de dificultar su análisis y detección. Hasta el momento, estos métodos de ofuscación no han sido especialmente complejos, pero demuestran que estos delincuentes adquieren nuevos conocimientos conforme pasa el tiempo, conocimientos que no dudan en emplear en las siguientes campañas.