20 jul. 2020

Mekotio: troyano bancario busca robar criptomonedas

No es la primera vez que se menciona a Mekotio, una familia de troyanos bancarios que apunta a sistemas Windows presente en Latinoamérica y distribuida a través de campañas maliciosas dirigidas a países específicos, como Chile o España, entre otros. Sin embargo, en esta ocasión analizamos con mayor profundidad sus características, las etapas de sus infecciones y sus capacidades maliciosas, entre las que se destaca el robo de criptomonedas y credenciales bancarias.

Desde su primera detección, en marzo de 2018, los cibercriminales detrás de esta amenaza le han ido aplicando cambios y actualizaciones. Si bien estos cambios han agregado, quitado y/o modificado funcionalidades, el objetivo se mantiene constante: hacer lo posible para obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas. Siguiendo esta línea, nuestros análisis han revelado que, entre todas sus variantes, el malware apunta a más de 51 instituciones bancarias distribuidas en al menos tres países.

Durante la mayor parte de su existencia esta amenaza tuvo como único objetivo a usuarios de países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose mayoritariamente en Chile. Sin embargo, en el transcurso de los últimos meses se han registrado variantes de Mekotio dirigidas especialmente a usuarios de España, con lo cual puede concluirse que los cibercriminales están expandiendo sus operaciones constantemente.

En cuanto a las detecciones de Mekotio en América Latina, Chile es el país en el que se registra la mayor cantidad por amplia diferencia, seguido por Brasil y México, con un nivel de detecciones medio, y luego por Perú, Colombia, Argentina, Ecuador y Bolivia, que presentan un nivel de detecciones bajo. El resto de los países latinoamericanos no presentaron un nivel de detecciones relevante.

Es importante destacar que un bajo número de detecciones no implica que la amenaza no esté presente en otros países de Latinoamérica. A su vez, debe considerarse que, si los atacantes lo consideraran rentable, podría haber nuevas campañas dirigidas específicamente a países que actualmente no presentan detecciones, como es el caso de España.

Este análisis fue realizado principalmente sobre la variante CY de Mekotio, la cual está dirigida a usuarios de Chile, el país más afectado por esta familia. Sin embargo, muchas de las características, actividades maliciosas y demás observaciones realizadas durante este análisis también aplican a otras variantes distribuidas en otros países, ya que todas forman parte de la misma familia y, por ende, presentan similitudes.

El proceso de infección comienza con una campaña de spam. Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.

El reemplazo de direcciones de billeteras de bitcoin consiste en reemplazar las direcciones de billeteras de bitcoin copiadas al portapapeles por la dirección de la billetera del atacante. De esta manera, si un usuario infectado quiere hacer una transferencia o un depósito a una dirección determinada y utiliza el comando copiar (clic derecho-copiar/ctrl+c) en lugar de escribirla manualmente, al querer pegar (clic derecho-pegar/ctrl+v) no se pegará la dirección a la que pretendía hacerse la transferencia, sino la dirección del atacante. Si el usuario no se percata de esta diferencia y decide continuar con la operación, acabará enviando el dinero directamente al atacante.

Contenido completo en WeLiveSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!