Expertos en seguridad informática de Trend Micro revelaron haber observado un notable aumento de ataques cibernéticos en America Latina, a través de un troyano bancario llamado Mekotio (tambien conocido como Melcoz).

Este Malware, activo desde 2015, atacó a países como Brasil, Chile, México, España, Perú y Portugal y Argentina, con el objetivo de robar credenciales bancarias. Según se supo, es parte de una tétrada de troyanos bancarios que apuntan a la región, como Guildma, JavaliGrandoreiro, este último desmantelado por las fuerzas del orden a principios de este año.

«Mekotio comparte características comunes para este tipo de malware, como estar escrito en Delphi, utilizar ventanas emergentes falsas, contener funcionalidad de puerta trasera y apuntar a países de habla hispana y portuguesa», dijo entonces la firma de ciberseguridad eslovaca.

La operación de malware sufrió un golpe en julio de 2021 cuando las fuerzas de seguridad españolas arrestaron a 16 personas pertenecientes a una red criminal en relación con la orquestación de campañas de ingeniería social dirigidas a usuarios europeos que distribuían Grandoreiro y Mekotio.

Las cadenas de ataque implican el uso de correos electrónicos de phishing con temática fiscal que tienen como objetivo engañar a los destinatarios para que abran archivos adjuntos maliciosos o hagan clic en enlaces falsos que conducen a la implementación de un archivo de instalación MSI, que, a su vez, hace uso de un script AutoHotKey (AHK) para iniciar el malware.

La cadena de infección del demonio de la mangosta roja

Vale la pena señalar que el proceso de infección marca una ligera desviación del detallado previamente por Check Point en noviembre de 2021, que hizo uso de un script por lotes ofuscado que ejecuta un script de PowerShell para descargar un archivo ZIP de segunda etapa que contiene el script AHK.

Una vez instalado, Mekotio recopila información del sistema y establece contacto con un servidor de comando y control (C2) para recibir más instrucciones.

Su principal objetivo es robar credenciales bancarias mostrando ventanas emergentes falsas que se hacen pasar por sitios bancarios legítimos. También puede capturar capturas de pantalla, registrar pulsaciones de teclas, robar datos del portapapeles y establecer persistencia en el host mediante tareas programadas.

Los actores de amenazas pueden luego utilizar la información robada para obtener acceso no autorizado a las cuentas bancarias de los usuarios y realizar transacciones fraudulentas.

Fuente

https://thehackernews.com/2024/07/experts-warn-of-mekotio-banking-trojan.html