Mekotio, el troyano bancario que afecta a países de habla hispana

05 Octubre 2020
Alto

Mekotio, un troyano bancario latinoamericano dirigido principalmente a Brasil, Chile, México, España, Perú y Portugal. ha desarrollado diferentes versiones para robar bitcoins, credenciales de acceso a webs e incluso para inutilizar dispositivos borrando archivos del sistema.

Troyano Mekotio

Mekotio es un típico troyano bancario latinoamericano que ha estado activo desde al menos 2015. Como tal, ataca mostrando ventanas emergentes falsas a sus víctimas, tratando de atraerlas para que divulguen información confidencial. Estas ventanas están cuidadosamente diseñadas para apuntar a bancos latinoamericanos y otras instituciones financieras.

Características

Este malware realiza acciones típicas de los backdoor, entre las que se incluyen la toma de capturas de pantalla, el reinicio de las máquinas afectadas, las restricciones de acceso a webs legítimas de banca online y, en algunas variantes, incluso el robo de bitcoins o la extracción de credenciales almacenadas en Google Chrome. 

Mekotio se distribuye sobre todo mediante spam. La mayoría de las cadenas de distribución consisten en diferentes pasos que concluyen con la descarga de un archivo comprimido ZIP, una de las características comunes entre los troyanos bancarios latinoamericanos. 

Mekotio recopila la siguiente información sobre sus víctimas:

  • Configuración de firewall
  • Si la víctima tiene privilegios administrativos
  • Versión del sistema operativo Windows instalado
  • Lista de soluciones antimalware instaladas

Mekotio se ejecuta más comúnmente abusando del intérprete legítimo de AutoIt. (Lenguaje freeware multipropósito de automatización para Microsoft Windows). En este escenario, el archivo ZIP contiene (además del troyano bancario Mekotio) un intérprete legítimo de AutoIt y un pequeño script de inyector o cargador de AutoIt. 

Algunas variantes de Mekotio basan su protocolo de red en Delphi_Remote_Access_PC. Cuando ese no es el caso, Mekotio utiliza una base de datos SQL como una especie de servidor C&C. Esta técnica no es desconocida en relación con los troyanos bancarios latinoamericanos. 

Panorama

Mekotio ha seguido un camino bastante desordenado en su desarrollo, con funciones modificadas muy a menudo. Evidenciándose diferentes variantes que se desarrollan al mismo tiempo, incluyendo hace meses, a usuarios de otras nacionalidades entre sus principales objetivos.

Se recomienda lo siguiente:

  • El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Mekotio #malware #troyano #Delphi #latinoamericanos


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.