Campaña de Mekotio que distribuye Malspam suplantando a institución de Gobierno

Como se ha mencionado en boletin "Agresiva campaña de Mekotio evidenciada en Chile", Chile sigue siendo objetivo de diferentes amenazas que buscan obtener beneficios económicos a costa de los datos de miles de víctimas que sufren el compromiso de sus dispositivos personales.

No podemos dejar de mencionar a los Malware-as-a-Service Infostealer, los cuales tienen la capacidad de obtener distintas credenciales directamente desde terminales comprometidos, ya no basta pensar en contraseñas complejas, ni aquellas con más de 17 caracteres. Todos los años vemos nuevas estadísticas que nos demuestran la facilidad con que los actores de amenazas podrían "romper" un sistema de autenticación por credenciales "poco robustas", sin embargo, en la actualidad éstas son extraídas en texto plano directamente de los terminales comprometidos. Para mas detalles respecto a Infostealers, dirigirse a nuestro Boletín Infostealers: ¡Lo que debes saber para proteger tu negocio de estas amenazas!

Malwares evidenciados en LATAM por categoria

En relación a esta nueva campaña, ya se había previsto que la agresiva campaña de Mekotio sobre el territorio nacional, seguiría su curso intentando cambiar el origen del lanzamiento de sus técnicas de ingeniería social, lo que ha sido corroborado durante la presente semana, al evidenciar una activa campaña de MALSPAM suplantando al MINISTERIO DE SALUD (MINSAL), en el marco de la campaña de vacunación de refuerzo contra el SARS COVID-19.

¿Qué es Mekotio?

Mekotio es un troyano bancario modular que tiene como objetivo países de América Latina, principalmente Chile, Colombia, Brasil, Perú y España.

De acuerdo con patrones de distribución y TTP (Tacticas, Tecnicas y Procedimientos) estudiados, este malware procedente de Brasil poseería operadores en toda LATAM dada su condición “Malware as a Service” (MaaS), lo que ha permitido su regreso recientemente con un nuevo flujo de infección.

Distribución de ataques de Mekotio en Sudamérica

Campaña de Malspam suplantando MINSAL

Durante la presente semana, se evidenció una nueva campaña de distribución de este troyano bancario,en la que se intenta suplantar al MINSAL, en el marco de la campaña de vacunación de refuerzo contra COVID-19.

Esta técnica ha sido utilizada en otras campañas alrededor del mundo, sin embargo la característica que diferencia de otras, es que en este caso las operaciones están concentradas netamente en territorio Chileno.

Correo suplantando a MINSAL

En el correo, se aborda a la víctima indicando que ha sido seleccionada para recibir una dosis adicional de refuerzo contra COVID-19, invitándole a descargar su tarjeta de instrucciones, teniendo un plazo de 72 horas para escoger qué vacuna aplicarse. De igual forma se le indica a la persona que el enlace estará disponible hasta el 10 de abril.

Tomando en cuenta lo anterior, nuevamente se cumplen características del típico modus operandi relacionado a phishing y malspam: tiempos acotados, decisión rápida por parte de la víctima y explotación de la curiosidad humana.

Análisis de la campaña

Al efectuar el acceso “normal” al correo, se aborda la víctima como se presentó anteriormente. En este punto, el usuario es conducido a hacer click en uno de los dos enlaces que contiene el correo, el que finalmente direcciona al mismo sitio donde se aloja la amenaza.

Enlace a sitio malicioso

Una vez conducida la apertura del link, tras un proceso de redirección de sitios que han sido vulnerados, se observa una web que simula ser el sitio del MINSAL, el cual efectúa la validación de geolocalización del acceso.

Sitio Web falso del MINSAL

Accedido el sitio falso, este procede a la descarga de un archivo de tipo ZIP, que es la etapa inicial de infección.

Archivo malicioso en formato ZIP

El archivo contiene el formato de nombre “vacuna [correo victima].zip”, el que finalmente contiene un instalador de tipo “.msi”.

Instalable MSI malicioso

Al igual que el archivo ZIP, este sigue el patrón de nombre con caracteres aleatorios, adicionando el correo electrónico de la víctima.

Algunos datos del archivo que corroboran su procedencia “poco confiable”:

Datos básicos del ejecutable malicioso

Siguiendo la línea de ejecución del archivo MSI, si el usuario procede a instalarlo en su máquina, procederá a instalar un intérprete de comandos conocido como “AutoHotKey”:

Este, cambiará de nombre conforme se cumplan etapas de comprobación de instalación y presencia de componentes que evidencien la ejecución del malware en un ambiente virtualizado.

Ejecución del paquete MSI

Si lo anterior se cumple de manera satisfactoria, el malware creará diferentes archivos que serán llamados por el intérprete AutoHotKey, para posteriormente instalarse como un ejecutable del sistema operativo.

Archivos creados post ejecución

Desde este punto, la ejecución del malware quedará ajustada de manera persistente al inyectarse en procesos legítimos del equipo (como “explorer.exe”) y sobreescribiendo librerías del sistema, además de llaves de registro que se encargan de iniciar ciertos procesos del sistema operativo.

Relaciones con otras campañas

Como es observado en los diferentes indicadores de compromiso y su ya conocido vector de ataque, esta amenaza se relaciona a otras de acuerdo al “tipo de negocio” para el que fué desplegado.

De esta forma, se puede observar que este malware podría tener conexiones con otras campañas de distribución de accesos contra víctimas “especiales” (como empresas y no solo personas naturales), a los que se puede incluir un “paquete” de extorsión, como la infección por ransomware, por ejemplo.

Relación de Mekotio con otras campañas

Llama la atención la baja detección que este “programa” tiene respecto a otras muestras que efectúan la misma operación, lo cual indica que es una campaña nueva y con un despliegue ejecutado hace solo unos días.

Anunciado durante el inicio del año 2022, varias amenazas tocaron Chile creando una suerte de expectativa negativa en cuanto al nivel de protección y seguridad de los sistemas que hoy operan de forma masiva en el país.

La llegada de la pandemia por COVID-19, hizo “estallar” un conjunto de tecnologías que han venido a mejorar la calidad de vida y de trabajo de las personas, pero lamentablemente esto también ha abierto una brecha para los cibercriminales, que día a día están al pendiente con el estudio de nuevas formas de atacar o la mejora continua de estas.

Como se mencionó en un boletín anterior, los usuarios que utilizan servicios de banca electrónica en Chile y los países que son afectados por este tipo de amenazas, deben mantenerse más alertas y considerar prepararse para la inminente oleada de intentos de vulnerar la seguridad que por este día viene desarrollándose.

Es recomendable aplicar buenas prácticas y criterios de seguridad, medidas suficientes para evitar ser víctima de Mekotio. Algunas de las más importantes, con relación directa a esta amenaza.

Ya se había anunciado que este tipo de malware aumentaría su actividad en Chile, haciendo uso de técnicas de engaño ya conocidas, y en este caso específico utilizando una “plantilla” que involucra una entidad pública y que toma como referencia la actual emergencia sanitaria en el país y el mundo, a la que lamentablemente sigue cobrando víctimas.

Este tipo de campañas sigue creciendo día a día, con la modularidad y escalabilidad que ofrecen los servicios de MaaS, por lo que no sería extraño observar estos ataques en otras regiones, así como la combinación de Mekotio y otras amenazas en conjunto, para seguir atacando Chile.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar reglas personalizadas para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible.
• Active la función de actualización automática de software en su computadora, dispositivo móvil y otros dispositivos conectados siempre que sea posible y pragmático. 
• Utilice un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.    
• Abstenerse de abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar su autenticidad.
• Realice prácticas de copia de seguridad periódicas y mantenga esas copias de seguridad fuera de línea o en una red separada.
• No abrir enlaces de correos electrónicos que no ha solicitado o cuyo remitente no le resulta familiar.
• Una buena práctica es que si recibe algún correo sospechoso, no responda ni solicite mayor información al respecto, evitar interactuar con el atacante.
• Monitoreo de la siguientes claves de registro de MS Windows:
   
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\SharedDlls\C:\ProgramData\%random_folder%\kdsd3[.]exe
     
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpLockdownFiles\%SystemDrive%/ProgramData/%random_folder%/kdsd3[.]exe
     
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\ProgramData\%random_folder%\kdsd3[.]exe
     
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\kdsd3[.]exe
     
  • HKLM\SOFTWARE\Microsoft\Wow64\x86\kdsd3[.]exe
     
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\CTF\Compatibility\kdsd3[.]exe