Alertan por el troyano bancario Mekotio que vuelve con fuerza

Mekotio, un troyano bancario modular que tenía como objetivo los países de América Latina procedente de Brasil, volvió a aparecer recientemente con un nuevo flujo de infección. La nueva campaña comenzó justo después de que la Guardia Civil española anunciara la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021.

Parece que la banda detrás del malware fue capaz de reducir la brecha rápidamente y cambiar de táctica para evitar la detección.

Se cree que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos. Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.

Cómo funciona la nueva versión de Mekotio

La infección comienza y se distribuye con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido. Los emails captados por los investigadores reclaman a la víctima objetivo un "recibo fiscal digital pendiente de presentación".

Cuando las víctimas hacen clic en el enlace, se descarga un archivo .zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene estos elementos inéditos:

• Un archivo batch más sigiloso con al menos dos capas de ofuscación.
• Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria. 
• Uso de Themida v3 para empaquetar la carga útil DLL final.