El troyano bancario Mekotio es un sofisticado malware que ha estado activo desde al menos 2015, principalmente dirigido a países latinoamericanos con el objetivo de robar información confidencial, en particular credenciales bancarias, de sus objetivos.
Mekotio parece compartir un origen común con otro malware bancario latinoamericano notable, Grandoreiro, que fue desmantelado por las fuerzas del orden a principios de este año.
Entre los países afectados por Mekotio, ha sido particularmente prolífico en Brasil, Chile, México, España y Perú.
Mecanismos de Distribución
Mekotio suele distribuirse a través de correos electrónicos de phishing, que emplean técnicas de ingeniería social para engañar a los usuarios para que interactúen con enlaces o archivos adjuntos maliciosos. Estos correos electrónicos a menudo se presentan como mensajes legítimos de instituciones financieras u otros servicios confiables, incitando a los usuarios a descargar archivos o hacer clic en enlaces que, al ser ejecutados, instala el malware en el sistema.
Funcionalidad y características
Al descargar y abrir el archivo adjunto malicioso o hacer clic en el enlace comprometido, el malware se descarga e instala en el sistema de la víctima. Mekotio puede disfrazarse como una actualización de software o un archivo legítimo para evitar la detección.
Una vez instalado, Mekotio puede capturar credenciales bancarias mediante técnicas como keylogging (registro de pulsaciones de teclas), capturas de pantalla y redireccionamiento de las sesiones de banca en línea.
El malware también puede proporcionar acceso remoto a los atacantes, permitiéndoles tomar el control del sistema infectado y realizar transacciones fraudulentas directamente desde la computadora de la víctima.
Mekotio utiliza técnicas avanzadas de ofuscación y cifrado de su código para evitar la detección por parte de software de seguridad y análisis.
Para asegurar su permanencia en el sistema y dificultar su eliminación, Mekotio puede instalar componentes adicionales, modificar el registro de Windows y crear tareas programadas.
Otros boletines sobre Mekotio
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1685/
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1208/
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1190/
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/772/
Campaña actual en Chile
En esta última semana se ha detectado una campaña activa de Mekotio, la cual intenta suplantar a la CGE (Compañía General de Electricidad S.A), una de las compañías de energía eléctrica más grandes de Chile por ende abastece a muchos clientes a los cuales están intentando engañar a través de un correos electrónicos maliciosos de tipo phishing, en el cual adjuntan un enlace que redirige hacia otro sitio controlado por los atacantes desde donde se descarga un archivo PDF malicioso que contiene instrucciones especiales y la carga útil del malware.
Ilustración 1: Correo de Mekotio suplantando a CGE
Fuente: Grupo CTI Entel Digital
Ilustración 2: Redirección a sitio malicioso y descarga de PDF
Fuente: Grupo CTI Entel Digital
Apreciación
Mekotio es un troyano bancario altamente sofisticado y persistente, con una trayectoria significativa de actividad maliciosa en América Latina. La constante evolución de sus técnicas de evasión y distribución haciéndose pasar por entidades legítimas para ganar la confianza de las potenciales víctimas, subraya la necesidad de una vigilancia continua y prácticas de seguridad robustas para proteger la información financiera y las credenciales bancarias de los usuarios.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Mekotio | - |
hash | b6a82774b81a965033716351d92... |
hash | e082dc1c11afff40efe2cf92e36... |
hash | 008c7e556beba4a5d0262112591... |
hash | a7112aa5b398fc7a77100164c81... |
hash | 439eecb230fb53b817ae535d6a6... |
hash | d447a2f6c83e2f6c18bad592ed0... |
hash | 00329d659b4166066737320f725... |
hash | 38a9671a253750cbe517ce75af2... |
hash | 3e4f3d7f962653220759a1169c3... |
hash | 6c81cf6d72baffb7cfe0d62d8d1... |
dominio | tudoprafrente[.]org |
dominio | tudoprafrente[.]co |
dominio | kdental[.]cl |
url | hxxps://intimaciones[.]afip... |
url | hxxps://techpowerup[.]net/c... |
url | hxxps://christcrucifiedinte... |