Las instituciones financieras de América Latina están amenazadas por un troyano bancario llamado Mekotio (también conocido como Melcoz).
Eso depende resultados de Trend Micro, que dijo que recientemente ha observado un aumento en los ciberataques que propagan malware de Windows.
Se sabe que Mekotio, que se utiliza activamente desde 2015, apunta a países latinoamericanos como Brasil, Chile, México, España, Perú y Portugal en un intento de robar credenciales bancarias.
Documentado por primera vez por ESET en agosto de 2020, es parte de una tétrada de troyanos bancarios dirigidos a la región de Guildma, Javali y Grandoreiro, el último de los cuales fue eliminado por las autoridades a principios de este año.
“Mekotio comparte características comunes para este tipo de malware, como estar escrito en Delphi, utilizar ventanas emergentes falsas, contener funcionalidad de puerta trasera y apuntar a países de habla hispana y portuguesa”, dijo en ese momento la empresa de ciberseguridad eslovaca. .
La operación de malware sufrió un duro golpe en julio de 2021 cuando las autoridades españolas arrestaron a 16 personas pertenecientes a una red criminal en relación con la orquestación de campañas de ingeniería social dirigidas a usuarios europeos que proporcionaban Grandoreiro y Mekotio.
Las cadenas de ataques implican el uso de correos electrónicos de phishing relacionados con impuestos que tienen como objetivo engañar a los destinatarios para que abran archivos adjuntos maliciosos o hagan clic en enlaces falsos que conducen a la implementación de un archivo de instalación MSI, que, a su vez, utiliza un script AutoHotKey (AHK) para iniciar el malware.
Cabe señalar que el proceso de infección marca una ligera desviación del detallado anteriormente por Check Point en noviembre de 2021, que utilizó un script por lotes ofuscado que ejecuta un script de PowerShell para descargar un archivo ZIP de segunda etapa que contiene el script AHK.
Una vez instalado, Mekotio recopila información del sistema y establece contacto con un servidor de comando y control (C2) para recibir más instrucciones.
Su objetivo principal es desviar credenciales bancarias mostrando ventanas emergentes falsas que se hacen pasar por sitios bancarios legítimos. También puede realizar capturas de pantalla, registrar pulsaciones de teclas, robar datos del portapapeles y establecer persistencia en el host mediante tareas programadas.
Luego, actores maliciosos pueden utilizar la información robada para obtener acceso no autorizado a las cuentas bancarias de los usuarios y realizar transacciones fraudulentas.
“El troyano bancario Mekotio plantea una amenaza persistente y en evolución para los sistemas financieros, particularmente en los países de América Latina”, dijo Trend Micro. “Utiliza correos electrónicos de phishing para infiltrarse en los sistemas, con el objetivo de robar información confidencial mientras mantiene un fuerte control sobre las máquinas comprometidas. »
El desarrollo se produce cuando la firma mexicana de ciberseguridad Scitum reveló detalles de un nuevo troyano bancario latinoamericano llamado Red Mongoose Daemon que, al igual que Mekotio, utiliza cuentagotas MSI distribuidos a través de correos electrónicos de phishing que se hacen pasar por facturas y notas fiscales.
“El objetivo principal de Red Mongoose Daemon es robar la información bancaria de las víctimas falsificando transacciones PIX a través de ventanas superpuestas”, dijo la compañía. dicho“Este troyano está dirigido a usuarios finales brasileños y empleados de organizaciones con información bancaria. »
“Red Mongoose Daemon tiene capacidades para manipular y crear ventanas, ejecutar comandos, controlar la computadora de forma remota, manipular navegadores web, secuestrar portapapeles y hacerse pasar por billeteras Bitcoin reemplazando billeteras copiadas con aquellas utilizadas por los ciberdelincuentes. »