Mekotio, una familia de troyanos bancarios que apunta a sistemas Windows presente en América del Sur y distribuida a través de campañas maliciosas dirigidas a países específicos, como Chile o España, entre otros.
En esta ocasión analizamos con mayor profundidad sus características, las etapas de sus infecciones y sus capacidades maliciosas, entre las que se destaca el robo de criptomonedas y credenciales bancarias.
Desde su primera detección, los cibercriminales detrás de esta amenaza, han ido implementando cambios y actualizaciones. Si bien estos cambios han agregado, quitado y/o modificado funcionalidades, el objetivo se mantiene constante: hacer lo posible para obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas.
En cuanto a las detecciones de Mekotio en América Latina, Chile es el país en el que se registra la mayor cantidad por amplia diferencia, seguido por Brasil y México, con un nivel de detecciones medio, y luego por Perú, Colombia, Argentina, Ecuador y Bolivia, que presentan un nivel de detecciones bajo. El resto de los países latinoamericanos no presentaron un nivel de detecciones relevante. Y recientemente, se han registrado varios casos en España.
Es importante destacar que un bajo número de detecciones no implica que la amenaza no esté presente en otros países. A su vez, debe considerarse que, si los atacantes lo consideraran rentable, podría haber nuevas campañas dirigidas específicamente a países que actualmente casi no presentan detecciones, como es el caso de España.
Este análisis fue realizado principalmente sobre la variante CY de Mekotio, la cual está dirigida a usuarios de Chile, el país más afectado por esta familia. Sin embargo, muchas de las características, actividades maliciosas y demás observaciones realizadas durante este análisis también aplican a otras variantes distribuidas en otros países, ya que todas forman parte de la misma familia y, por ende, presentan similitudes.
El proceso de infección comienza con una campaña de spam. Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.
El reemplazo de direcciones de billeteras de bitcoin consiste en reemplazar las direcciones de billeteras de bitcoin copiadas al portapapeles por la dirección de la billetera del atacante. De esta manera, si un usuario infectado quiere hacer una transferencia o un depósito a una dirección determinada y utiliza el comando copiar en lugar de escribirla manualmente, al querer pegar no se pegará la dirección a la que pretendía hacerse la transferencia, sino la dirección del atacante. Si el usuario no se percata de esta diferencia y decide continuar con la operación, acabará enviando el dinero directamente al atacante.