Parecía que se había acabado con él, pero ha regresado de sus cenizas, como el ave fénix. Tras la detención de 16 sospechosos acusados de blanqueo de capitales por parte de la Guardia Civil el pasado mes de junio se pensaba que el troyano bancario Mekotio había sido neutralizado, sin embargo, este malware ha vuelto a aparecer.
La banda tras el malware habría reducido la brecha rápidamente y variado su táctica para evitar la detección. La operación de las autoridades habría acabado con la actividad de las bandas españolas, pero no con la de los principales grupos de ciberdelincuentes tras la amenaza.
Mekotio está llegando a usuarios de España y Latinoamérica (sobre todo Brasil, Chile, México y Perú) con nuevas capacidades y técnicas de evasión, según informan expertos de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd.
El troyano se ha encontrado en más de un centenar de ciberataques dirigidos a países latinoamericanos en una forma evolucionada, con un nuevo flujo de infección.
La cepa de malware Mekotio sería obra de grupos de hackers brasileños que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos.
Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar emails falsos que tratan de simular su pertenencia a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas. Entonces, se hace silenciosamente con sus credenciales.
Cómo opera este Mekotio renovado
La infección se inicia con un correo electrónico de phishing, escrito en español, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido con el reclamo de que tiene un "recibo fiscal digital pendiente de presentación".
Al pinchar en el enlace se descarga un archivo zip fraudulento desde un sitio web malicioso. El nuevo vector de infección de Mekotio contiene un archivo batch más sigiloso con al menos dos capas de ofuscación, con la ayuda de un 'cifrado de sustitución', para ocultar el primer módulo del ataque. Esta sencilla técnica de ocultación que permite que no sea detectado por la mayoría de los softwares de protección.
Una de las características clave de Mekotio es su diseño modular, que da a los ciberdelincuentes la posibilidad de cambiar sólo una pequeña parte del conjunto para evitar su detección.
"Aunque la Guardia Civil española anunció la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021, parece que la banda detrás del malware sigue activa. Tenemos claro que han desarrollado y distribuido una nueva versión que tiene capacidades de ocultación y técnicas de evasión mucho más eficaces", advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
"Existe un peligro muy real de que robe nombres de usuario y contraseñas, con el fin de entrar en las instituciones financieras. De ahí que las detenciones hayan frenado la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes que están detrás", añade.
El experto asegura que los ciberdelincuentes que están detrás de Mekotio operan desde Brasil y colaboran con bandas europeas para distribuir el malware. Además, les gusta utilizar una infraestructura de entrega en varias etapas para evitar la detección, usan principalmente correos electrónicos de phishing como primer vector de infección y se sirven de entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos.
Desde CheckPoint instan a los usuarios a que utilicen la autenticación de dos factores siempre que esté disponible y a que tengan cuidado con los dominios parecidos, los errores ortográficos en los emails o las páginas web y los remitentes de correo electrónico desconocidos para protegerse frente al troyano.