Nueva campaña de Mekotio dirigido a Chile y LATAM

Recientemente se ha detectado una nueva campaña de malware Mekotio dirigida fuertemente a Chile, México, Perú y Brasil desde el día  2 de Agosto, logrando detectar un total de 597 víctimas que han instalado el malware hasta el día 11 de agosto de 2023, mediante la suplantación de sitios de pagos de múltiples países de LATAM y 2 de Europa.

Foto: Perfil Mekotio

MEKOTIO

Troyano bancario, de origen brasileño y distribuido a países de habla hispana y portugués con origen en 2018, ha desarrollado constantes campañas que se adaptan a diferentes temáticas de contingencia y actualidad para entregar mayor credibilidad a sus víctimas, incluso abordando la crisis sanitaria de Covid 19 o procesos de devolución de impuestos.

Los TTP´s de este malware se mantienen bastante similares en el tiempo, utilizando la técnica de phishing, para redirigir a un enlace de descarga de un documento .zip que en su interior contiene un ejecutable MSI (Microsoft Installer) y que pese a que solo cambian su infraestructura y temática de urgencia, aún continúa siendo altamente efectivo para el engaño de sus víctimas, tal y como se muestran en las estadísticas previas.

Además, debido a que en esta cadena de ataque es la propia víctima quien (mediante un engaño) instala el software malicioso, es entonces la víctima la responsable de las sustracciones monetarias y no la entidad bancaria ya que su seguridad no ha sido vulnerada y por tanto no se hace responsable.

Antecedentes de la campaña

Durante el día 2 de Agosto se recibió una muestra de correo, el cual tras un análisis resultó ser una campaña de phishing, en donde se intenta suplantar a un conocido portal de pagos nacional, para el cobro de dineros retenidos, sin embargo, este presenta diferentes características sospechosas, como por ejemplo detectando que el sender no corresponde a un correo electrónico válido para dicha institución, un mensaje que llama la atención y que invita a actuar a la brevedad bajo un contexto que llama a la urgencia mediante la incorporación de la dirección de correo electrónico de la víctima dentro del cuerpo del mensaje.

Por otra parte, tras este mensaje con baja elaboración visual, contiene un enlace que redirige hacia un sitio de terceros que no se vincula en nada con la marca suplantada.

Foto: Correo phishing

Una vez se ha accedido al enlace otorgado dentro del cuerpo de correo, este se redirige a otro sitio que dispone del enlace final para la descarga del malware en formato.zip y que funciona de forma intermediaria para alojar el enlace malicioso con el fin de que los correos entregados a las víctimas no contengan en enlaces mal categorizados, para de esta forma sobrepasar filtros antispam y entregándose directamente en las casillas de entrada principal de las posibles víctimas y por tanto aumentando su nivel de propagación y efectividad.

Foto: Sitio web de descarga
 

Cabe destacar que Después de la primera sesión de descarga, no permite volver a descargar el archivo adjunto, por lo tanto, tiene una validación por IP y si esta ya se encuentra en la base de datos, no permite que el index se vuelva a cargar y así evitar que las investigadores logren realizar descargas masivas del malware.

Análisis de la muestra 

Tras el acceso y seguimiento de los enlaces maliciosos se ha descargado la muestra disponibilizada, que en primera instancia se encuentra comprimida en un archivo .zip para luego extraer un archivo ejecutable .msi (apto solo para windows) y que tras un análisis se ha podido determinar que pertenece al troyano bancario Mekotio.

Una de las características más relevantes radica en que su origen está vinculado a Brasil dado los textos y comentarios incorporados dentro del código fuente del malware y por tanto presenta un alto interés y direccionalidad hacia países de habla hispana, portugués e inglés, específicamente dirigido a:

• Chile
• Perú
• Uruguay
• Paraguay
• Bolivia
• México
• Argentina
• Ecuador
• Brasil
• Colombia
• España
• Reino unido

Foto: Países a los que ha sido direccionado
 

Hallazgos adicionales

Adicional a los hallazgos previos y mediante el seguimiento de sitios fraudulentos se han podido obtener diferentes dominios pertenecientes a la infraestructura de Mekotio, suplantando por ejemplo a SUNAT de Perú, para vulnerar a sus contribuyentes.

Por otra parte, también se ha logrado acceder a un servidor C2 del grupo administrado mediante panel, desde donde se han obtenido componentes de malware y un listado total de víctimas hasta la fecha, tanto de las que hacen clic en el correo como de quienes instalan el malware.

Se desconoce si Dexter pertenece a un panel por defecto o es un logo personalizado.

Foto: Usuarios que han hecho clic en el enlace malicioso

Foto: Usuarios que han instalado el malware

Entre otros hallazgos que se identifican como parte del malware, se detecta un archivo que contiene reglas de validación con cientos de segmentos IP, aparentemente para determinar si se encuentran o no permitidos para descargar y ejecutar el malware.

Foto: Registro de archivo Htaccess

Foto: Usuarios que han hecho click al enlace del correo de phishing, diferenciado por correos corporativos y correos personales.

Foto:  Total de usuarios que hicieron click en el enlace de phishing por países.

Foto: Total de usuarios por países que descargaron e instalaron el malware en su equipo (597 víctimas totales)

En base a lo anterior se detecta que el país más afectado con esta campaña corresponde a Chile y que adicionalmente del total de usuarios de todo LATAM que han hecho click al enlace malicioso, solo un 27,7% de personas han instalado el malware

Es importante mencionar que debido a que los operadores del malware tienen motivaciones claramente financieras, se dirigen a cuentas corporativas o con grandes cantidades de dinero, optimizando así su tiempo y esfuerzos, es por esta razón que los objetivos dentro de Chile tienen predominancia a sectores gubernamentales.

Apreciación
Debido a que eventos pasados nos permiten generar cierta proyección hacia el futuro, es de esperar que tras un tiempo de actividad esta campaña se detenga pero no limita que próximamente surjan nuevas y constantes campañas con diferentes motivos de urgencia y cambios en la infraestructura, en donde se utilicen los mismos TTP´s o sin cambios considerables, por tanto, debido a la larga trayectoria y las grandes capacidades de elaboración y distribución de malware de estos actores, es que la principal barrera de protección es la concientización de usuarios y colaboradores.