fbpx
Top

Mekotio, el troyano bancario que apunta a Latam

Mekotio

Mekotio, el troyano bancario que apunta a Latam

Las debilidades de los s sistemas de seguridad en América Latina nos ha hecho el blanco de Mekotio, según CPR.

 

La transformación digital de América Latina ha tenido la consecuencia nefasta de colocarnos en el mapa de la ciberdelincuencia o, peor aún, de hacer crecer las que fueron incipientes bandas locales.

Ahora son una de las plagas que las empresas de ciberseguridad destacan en sus evaluaciones de la región.

En la más reciente de Check Point Research (CPR) se destaca que el troyano bancario Mekotio ha vuelto a aparecer y a posicionarse entre las amenazas más fuertes para usuarios, empresas y bancos.

El informe de CPR recordó que este malware fue utilizado para delitos de legitimación de capitales que ocasionaron la detención de 16 sospechosos por parte de la Guardia Civil Española meses atrás.

Se cree que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos.

Amenaza en español

Desarrollado para atacar equipos Windows, Mekotio es un troyano bancario modular dirigido en contra de los países de América Latina y España.

Mekotio se distingue por utilizar correos electrónicos falsos que imitan a empresas legítimas. Mientras más reconocidas, mejor.

La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto.

El mensaje atrae a la víctima para que descargue y extraiga este contenido.

Los emails captados por los investigadores reclaman a la víctima objetivo un “recibo fiscal digital pendiente de presentación”.

Cuando las víctimas hacen clic en el enlace, se descarga un archivo zip fraudulento desde un sitio web malicioso.

Además, el nuevo vector de infección de Mekotio contiene estos elementos inéditos:

  • Un archivo batch más sigiloso con al menos dos capas de ofuscación.
  • Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria.
  • Uso de Themida v3 para empaquetar la carga útil DLL final.

Más detalles

El informe de CPR destaca que, en los últimos tres meses, se han visto aproximadamente 100 ataques que utilizan nuevas y sencillas técnicas de ofuscación, con la ayuda de un cifrado de sustitución, para ocultar el primer módulo del ataque. 

Esta sencilla técnica de ocultación que permite que no sea detectado por la mayoría de los softwares de protección.

Además, Eusebio Nieva, director técnico de Check Point Software para España y Portugal recordó que, las detenciones de julio puede que hayan frenado la actividad de las bandas españolas, pero no la acción de los principales grupos de ciberdelincuentes que están detrás.

Sabemos algunas cosas sobre los ciberdelincuentes que están detrás de Mekotio, que operan desde Brasil y colaboran con bandas europeas para distribuir el malware”. 

Al respecto destacó que a estos grupos:

  • Les gusta utilizar una infraestructura de entrega en varias etapas para evitar la detección. 
  • Utilizan principalmente correos electrónicos de phishing como primer vector de infección.
  • Usan entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos.

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP