Check Point Research alerta de la reaparición del troyano bancario Mekotiocon nuevas capacidades y técnicas de evasión. En las últimas semanas, se han detectado y bloqueado más de 100 ciberataques dirigidos a países latinoamericanos y a España.

Procedente de Brasil, la nueva campaña comenzó justo después de que la Guardia Civil anunciara la detención de 16 personas acusadas de blanqueo de capitales e implicadas en la distribución de Mekotio en julio de 2021.

Se cree que Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos. Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.

Check Point Research intuye que los principales grupos de ciberdelincuentes operan desde Brasil y que han estado colaborando con las bandas españolas para distribuir malware. Las detenciones de julio frenaron la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes de Brasil.

Las recientes observaciones de Check Point Research revela que estos ciberdelincuentes siguen activos, distribuyendo una nueva versión de este troyano con nuevas y mejoradas capacidades de ocultación y técnicas de evasión. España, Brasil, Chile, México y Perú han sido los objetivos de Mekotio.

Una de las características más preocupantes de Mekotio es su diseño modular, que da a los ciberdelincuentes la posibilidad de cambiar sólo una pequeña parte del conjunto para evitar su detección. Además, Mekotio utiliza un antiguo método llamado «cifrado de sustitución» para ocultar el contenido de los archivos y el primer módulo de ataque. Esta sencilla técnica evita ser detectado por la mayoría de los productos antivirus. Además, estos ciberdelincuentes utilizan una nueva versión de una herramienta comercial llamada «Themida», que incorpora a la descarga útil un sofisticado sistema de cifrado, antidepuración y antimonitorización.

La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje informa de un «recibo fiscal digital pendiente de presentación». Cuando las víctimas hacen clic en el enlace, se descarga un archivo zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene estos elementos inéditos:

• Un archivo batch más sigiloso con al menos dos capas de ofuscación.
• Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria.
• Uso de Themida v3 para empaquetar la carga útil DLL final.

En los últimos tres meses, se han visto aproximadamente 100 ataques

«Tenemos claro que han desarrollado y distribuido una nueva versión que tiene capacidades de ocultación y técnicas de evasión mucho más eficaces. Existe un peligro muy real de que robe nombres de usuario y contraseñas, con el fin de entrar en las instituciones financieras. Les gusta utilizar una infraestructura de entrega en varias etapas para evitar la detección. Utilizan principalmente correos electrónicos de phishing como primer vector de infección.Usan entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos. Instamos a los usuarios de las regiones objetivo conocidas de Mekotio a que utilicen la autenticación de dos factores siempre que esté disponible y a que tengan cuidado con los dominios parecidos, los errores ortográficos en los emails o las páginas web y los remitentes de correo electrónico desconocidos», alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Cómo mantenerse protegido

• Tener cuidado con los dominios parecidos, con los errores ortográficos en los correos electrónicos o en las páginas web y con los remitentes de emails desconocidos.
• Es preciso ser precavido con los archivos recibidos por correo electrónico de personas extrañas, sobre todo si solicitan una acción determinada que no se suele realizar.
• Asegurarse de que los pedidos se realizan a una fuente auténtica. Una forma de hacerlo es no hacer clic en los enlaces promocionales de los mensajes y, en su lugar, buscar en Google la tienda deseada y hacer clic en el enlace de la página de resultados.
• Hay que tener cuidado con las ofertas «especiales» que no parecen ser oportunidades de compra fiables o de confianza.
• Garantizar que no se reutilizan las contraseñas entre diferentes aplicaciones y cuentas.