En las ultimas semanas reapareció con fuerza la propagación del virus troyano Mekotio, destinado a robar datos de cuentas bancarias en España y países de Latinoamérica, alertó Check Point Research, la división de Inteligencia de Amenazas de Check Point Software, un proveedor líder en ciberseguridad.
La alerta responde a que la Guardia Civil española acaba de apresar a 16 sospechosos acusados de blanqueo de capitales y de propagar la difusión del malware, que afectó a cuentas bancarias en España y América Latina con nuevas capacidades y técnicas de evasión, puntualizó la firma de ciberseguridad. Remarcó que en las últimas semanas se han detectado y bloqueado más de 100 ciberataques dirigidos a países latinoamericanos que aprovechan una forma evolucionada de ese troyano.
Se cree que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos.
Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.
Check Point Research supone que los principales grupos de ciberdelincuentes operan desde Brasil y que han estado colaborando con las bandas españolas para distribuir malware. La detención frenó la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes.
Las medidas de vigilancia revelan que estos ciberdelincuentes siguen activos, distribuyendo una nueva versión de este troyano con nuevas y mejoradas capacidades de ocultación y técnicas de evasión. España, Brasil, Chile, México y Perú han sido históricamente los objetivos de este malware, incluyendo los recientes ciberdelincuentes captados por los investigadores.
Cómo funciona la nueva versión de Mekotio
La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido. Los emails captados por los investigadores reclaman a la víctima objetivo un «recibo fiscal digital pendiente de presentación». Cuando las víctimas hacen clic en el enlace, se descarga un archivo zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene estos elementos inéditos:
Un archivo batch más sigiloso con al menos dos capas de ofuscación.
Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria.
Uso de Themida v3 para empaquetar la carga útil DLL final.
En los últimos 3 meses, se han visto aproximadamente 100 ataques que utilizan nuevas y sencillas técnicas de ofuscación, con la ayuda de un cifrado de sustitución, para ocultar el primer módulo del ataque. Esta sencilla técnica de ocultación que permite que no sea detectado por la mayoría de los softwares de protección.
Correo electrónico de phishing
El email de phishing, redactado en español, afirma que hay un recibo fiscal digital pendiente de presentación. Cuando las víctimas hacen clic en el enlace del correo electrónico, se descarga un archivo zip malicioso desde un website malicioso.
Una de las características clave de Mekotio es su diseño modular, que da a los ciberdelincuentes la posibilidad de cambiar sólo una pequeña parte del conjunto para evitar su detección.
Además, utiliza un antiguo método llamado «cifrado de sustitución» para ocultar el contenido de los archivos y el primer módulo de ataque. Esta sencilla técnica de evita ser detectado por la mayoría de los productos antivirus. Además, estos ciberdelincuentes utilizan una nueva versión de una herramienta comercial llamada «Themida», que incorpora a la descarga útil un sofisticado sistema de cifrado, antidepuración y antimonitorización.
Aunque la Guardia Civil española anunció la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021, parece que la banda detrás del malware sigue activa. «Tenemos claro que han desarrollado y distribuido una nueva versión que tiene capacidades de ocultación y técnicas de evasión mucho más eficaces», indicó la firma de seguridad informática.
«Existe un peligro muy real de que robe nombres de usuario y contraseñas, con el fin de entrar en las instituciones financieras. De ahí que las detenciones hayan frenado la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes que están detrás», puntualizó.
Cómo mantenerse protegido
- Tener cuidado con los dominios parecidos, con los errores ortográficos en los correos electrónicos o en las páginas web y con los remitentes de emails desconocidos.
- Es preciso ser precavido con los archivos recibidos por correo electrónico de personas extrañas, sobre todo si solicitan una acción determinada que no se suele realizar.
- Asegurarse de que los pedidos se realizan a una fuente auténtica. Una forma de hacerlo es no hacer clic en los enlaces promocionales de los mensajes y, en su lugar, buscar en Google la tienda deseada y hacer clic en el enlace de la página de resultados.
- Hay que tener cuidado con las ofertas «especiales» que no parecen ser oportunidades de compra fiables o de confianza.
- Garantizar que no se reutilizan las contraseñas entre diferentes aplicaciones y cuentas.
Deja tu comentario