Las instituciones financieras en América Latina enfrentan una amenaza creciente por parte de un troyano bancario conocido como Mekotio (también llamado Melcoz). Según Trend Micro, este malware ha experimentado un aumento en ciberataques dirigidos a entidades financieras en la región. Desde 2015, Mekotio ha estado activo, enfocándose en países latinoamericanos como Brasil, Chile, México, España, Perú y Portugal, con el objetivo de perpetrar el robo de credenciales bancarias.
ESET documentó por primera vez la presencia de este troyano en agosto de 2020. Mekotio es parte de un grupo de cuatro troyanos bancarios orientados a la región, junto con Guildma, Javali y Grandoreiro, este último desmantelado por las autoridades a principios de este año.
El troyano Mekotio comparte características típicas de malware bancario, como estar escrito en Delphi, desplegar ventanas emergentes engañosas, contener funcionalidades de puerta trasera y apuntar a países de habla hispana y portuguesa. Las operaciones de este malware sufrieron un revés en julio de 2021, cuando las autoridades españolas arrestaron a 16 personas pertenecientes a una red criminal relacionada con la orquestación de campañas de ingeniería social que distribuían Grandoreiro y Mekotio.
Las cadenas de ataque involucran el uso de correos electrónicos de phishing con temas relacionados con impuestos, diseñados para engañar a los destinatarios y llevarlos a abrir archivos adjuntos maliciosos o hacer clic en enlaces falsos que conducen a la implementación de un archivo instalador MSI. Este a su vez utiliza un script AutoHotKey (AHK) para lanzar el malware.
Es importante destacar que el proceso de infección presenta una ligera desviación de la detallada por Check Point en noviembre de 2021, el cual utilizaba un script por lotes ofuscado que ejecutaba un script de PowerShell para descargar un archivo ZIP de segunda etapa que contenía el script AHK.
Una vez instalado, Mekotio recopila información del sistema y se comunica con un servidor de comando y control (C2) para recibir instrucciones adicionales. Su principal objetivo es robar credenciales bancarias mostrando ventanas emergentes falsas que simulan ser sitios bancarios legítimos. También puede adquirir capturas de pantalla, registrar pulsaciones de teclas, robar datos del portapapeles y establecer persistencia en el host mediante tareas programadas.
La información robada puede ser utilizada por los ciberdelincuentes para acceder de forma no autorizada a las cuentas bancarias de los usuarios y realizar transacciones fraudulentas. Trend Micro advierte que el troyano Mekotio es una amenaza persistente y en constante evolución para los sistemas financieros, especialmente en países de América Latina. La firma mexicana de ciberseguridad Scitum también reveló detalles de otro troyano bancario en la región llamado Red Mongoose Daemon, que comparte similitudes con Mekotio y utiliza distribuidores MSI a través de correos electrónicos de phishing.
Este nuevo troyano tiene como objetivo principal el robo de información bancaria de víctimas simulando transacciones PIX a través de ventanas superpuestas. Red Mongoose Daemon apunta a usuarios finales brasileños y empleados de organizaciones con información bancaria, y tiene capacidades para manipular y crear ventanas, ejecutar comandos, controlar de forma remota la computadora, manipular navegadores web, secuestrar portapapeles e impersonar monederos de Bitcoin.
Vía The Hacker News
