Mekotio: un troyano que roba credenciales bancarias en América Latina

ESET, revela que el malware Mekotio, un troyano bancario, mantiene campañas activas en países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose en Chile. Además se han registrado variantes de Mekotio en España.

CAMPAÑA

Desde su primera detección, en marzo de 2018, los cibercriminales detrás de esta amenaza le han ido aplicando cambios y actualizaciones. Si bien estos cambios han agregado, quitado y/o modificado funcionalidades, el objetivo se mantiene constante: hacer lo posible para obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas. Siguiendo esta línea, ESET ha revelado que, entre todas sus variantes, el malware apunta a más de 51 instituciones bancarias distribuidas en al menos tres países.

Durante la mayor parte de su existencia esta amenaza tuvo como único objetivo a usuarios de países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose mayoritariamente en Chile. Sin embargo, en el transcurso de los últimos meses se han registrado variantes de Mekotio dirigidas especialmente a usuarios de España, con lo cual puede concluirse que los cibercriminales están expandiendo sus operaciones constantemente.

En cuanto a las detecciones de Mekotio en América Latina, Chile es el país en el que se registra la mayor cantidad por amplia diferencia, seguido por Brasil y México, con un nivel de detecciones medio, y luego por Perú, Colombia, Argentina, Ecuador y Bolivia, que presentan un nivel de detecciones bajo. El resto de los países latinoamericanos no presentaron un nivel de detecciones relevante.

Porcentaje de detecciones a nivel sudamericano
Fuente: Esset Security

Etapas de infección de Mekotio 

En los años que lleva activo Mekotio se han observado diversos procesos de infección asociados a este código malicioso, variando la cantidad de etapas, los componentes involucrados y demás. Sin embargo, hay una constante entre todos ellos y es la etapa inicial, que comienza por el envío de un correo que contiene un enlace malicioso.

Etapa inicial

El proceso de infección comienza con una campaña de spam. Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje. 

Algunos ejemplos que se han visto en Chile son:

• Correo que aparenta provenir de Servicio Impuestos internos (SII), en el cual se envía el comprobante de pago de un impuesto. 
• Correo con supuesta factura de deuda con una compañía de servicios de telefonía de Chile
• Supuesto correo de chilexpress dando aviso de depósito.

Instalación

Una vez abierto el enlace, comienza la descarga automática de un archivo comprimido .zip. Una vez descomprimido el archivo, nos encontramos con su contenido, un instalador .msi.

Al ejecutar el instalador se llevarán a cabo dos tareas principales:

• Descarga del payload
• Persistencia

El instalador cumple la función de downloader y, adicionalmente, establece la persistencia de la amenaza en el dispositivo infectado.

Características de Mekotio (.dll)

Las muestras analizadas para este análisis presentan varias características interesantes, siendo algunas similares a las registradas en otras familias de troyanos bancarios de Latinoamérica:

• Es desarrollado en Embarcadero Delphi
• Cuenta con protección Anti-VM, monitoreando la presencia de procesos como VBoxService.exe
• Cuenta con protección Anti-debugging (IsDebuggerPresent)
• Modifica su comportamiento según el lenguaje del sistema operativo infectado
• Cuenta con funcionalidad de auto destrucción, es decir, para desactivarse y detener la infección
• Contiene una gran cantidad de strings cifrados mediante un algoritmo similar a los utilizados en otros troyanos bancarios de Latinoamérica
• Busca información sobre productos de seguridad instalados en el sistema
• Es distribuido junto con la biblioteca SQLite3.dll

Además de campañas de envíos de correo que contiene un enlace malicioso este malware mantiene los siguientes comportamientos maliciosos observados:

• Robo de credenciales bancarias con ventanas FALSAS
• Robo de contraseñas almacenadas por navegadores web 
• Reemplazo de direcciones de billeteras de bitcoin

Panorama

Como se puede apreciar, se trata de una campaña altamente dirigida a la región. Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctimas de este tipo de engaño o similar, es importante también que los usuarios estén atentos a este tipo de correos y que antes de hacer clic revisen la URL que contiene el mensaje.

Tras unos meses centrándose en países de Latinoamérica. Se han registrado variantes de Mekotio dirigidas especialmente a usuarios de España, con lo cual puede concluirse que los cibercriminales están expandiendo sus operaciones.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.