Check Point Research (CPR) alerta de que después de que la Guardia Civil española haya detenido a 16 sospechosos acusados de blanqueo de capitales, el troyano bancario utilizado en esos delitos vuelve a aparecer. Con el nombre de Mekotio, este malware se dirige a las víctimas de España y América Latina con nuevas capacidades y técnicas de evasión. En las últimas semanas, se han detectado y bloqueado más de 100 ciberataques dirigidos a países latinoamericanos que aprovechan una forma evolucionada de un troyano bancario llamado Mekotio. 

Mekotio, un troyano bancario modular que tenía como objetivo los países de América Latina procedente de Brasil, ha vuelto a aparecer recientemente con un nuevo flujo de infección. La nueva campaña comenzó justo después de que la Guardia Civil española anunciara la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021. Parece que la banda detrás del malware fue capaz de reducir la brecha rápidamente y cambiar de táctica para evitar la detección.

Se cree que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos. Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.

Check Point Research supone que los principales grupos de ciberdelincuentes operan desde Brasil y que han estado colaborando con las bandas españolas para distribuir malware. La detención frenó la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes. 

Las recientes observaciones de Check Point Research revela que estos ciberdelincuentes siguen activos, distribuyendo una nueva versión de este troyano con nuevas y mejoradas capacidades de ocultación y técnicas de evasión. España, Brasil, Chile, México y Perú han sido históricamente los objetivos de Mekotio, incluyendo los recientes ciberdelincuentes captados por los investigadores.

Cómo funciona la nueva versión de Mekotio 

La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido. Los emails captados por los investigadores reclaman a la víctima objetivo un «recibo fiscal digital pendiente de presentación». Cuando las víctimas hacen clic en el enlace, se descarga un archivo zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene estos elementos inéditos:

  • Un archivo batch más sigiloso con al menos dos capas de ofuscación.
  • Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria. 
  • Uso de Themida v3 para empaquetar la carga útil DLL final.

En los últimos 3 meses, se han visto aproximadamente 100 ataques que utilizan nuevas y sencillas técnicas de ofuscación, con la ayuda de un cifrado de sustitución, para ocultar el primer módulo del ataque. Esta sencilla técnica de ocultación que permite que no sea detectado por la mayoría de los softwares de protección.

Correo electrónico de phishing

El email de phishing, redactado en español, afirma que hay un recibo fiscal digital pendiente de presentación.  Cuando las víctimas hacen clic en el enlace del correo electrónico, se descarga un archivo zip malicioso desde un website malicioso.

Nuevas habilidades de camuflaje y técnicas de evasión 

Una de las características clave de Mekotio es su diseño modular, que da a los ciberdelincuentes la posibilidad de cambiar sólo una pequeña parte del conjunto para evitar su detección. Además, Mekotio utiliza un antiguo método llamado «cifrado de sustitución» para ocultar el contenido de los archivos y el primer módulo de ataque. Esta sencilla técnica de evita ser detectado por la mayoría de los productos antivirus. Además, estos ciberdelincuentes utilizan una nueva versión de una herramienta comercial llamada «Themida», que incorpora a la descarga útil un sofisticado sistema de cifrado, antidepuración y antimonitorización.

«Aunque la Guardia Civil española anunció la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021, parece que la banda detrás del malware sigue activa. Tenemos claro que han desarrollado y distribuido una nueva versión que tiene capacidades de ocultación y técnicas de evasión mucho más eficaces. Existe un peligro muy real de que robe nombres de usuario y contraseñas, con el fin de entrar en las instituciones financieras. De ahí que las detenciones hayan frenado la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes que están detrás. Sabemos algunas cosas sobre los ciberdelincuentes que están detrás de Mekotio, que operan desde Brasil y colaboran con bandas europeas para distribuir el malware: 

  • Les gusta utilizar una infraestructura de entrega en varias etapas para evitar la detección. 
  • Utilizan principalmente correos electrónicos de phishing como primer vector de infección.
  • Usan entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos.

Instamos a los usuarios de las regiones objetivo conocidas de Mekotio a que utilicen la autenticación de dos factores siempre que esté disponible y a que tengan cuidado con los dominios parecidos, los errores ortográficos en los emails o las páginas web y los remitentes de correo electrónico desconocidos», alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Cómo mantenerse protegido 

  1. Tener cuidado con los dominios parecidos, con los errores ortográficos en los correos electrónicos o en las páginas web y con los remitentes de emails desconocidos.
  2. Es preciso ser precavido con los archivos recibidos por correo electrónico de personas extrañas, sobre todo si solicitan una acción determinada que no se suele realizar.
  3. Asegurarse de que los pedidos se realizan a una fuente auténtica. Una forma de hacerlo es no hacer clic en los enlaces promocionales de los mensajes y, en su lugar, buscar en Google la tienda deseada y hacer clic en el enlace de la página de resultados.
  4. Hay que tener cuidado con las ofertas «especiales» que no parecen ser oportunidades de compra fiables o de confianza.
  5. Garantizar que no se reutilizan las contraseñas entre diferentes aplicaciones y cuentas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.