Chile amenazado por Mekotio, troyano bancario capaz de robar criptomonedas

Mekotio, una familia de troyanos bancarios que apunta a sistemas Windows presente en Latinoamérica y distribuida a través de campañas maliciosas dirigidas a países específicos, como Chile o España, entre otros.

Desde su primera detección, en marzo de 2018, los cibercriminales detrás de esta amenaza le han ido aplicando cambios y actualizaciones. Si bien estos cambios han agregado, quitado y/o modificado funcionalidades, el objetivo se mantiene constante: hacer lo posible para obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas. El malware apunta a más de 51 instituciones bancarias distribuidas en al menos tres países.

Durante la mayor parte de su existencia esta amenaza tuvo como único objetivo a usuarios de países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose mayoritariamente en Chile. 

En cuanto a las detecciones de Mekotio en América Latina, Chile es el país en el que se registra la mayor cantidad por amplia diferencia, seguido por Brasil y México, con un nivel de detecciones medio, y luego por Perú, Colombia, Argentina, Ecuador y Bolivia, que presentan un nivel de detecciones bajo. El resto de los países latinoamericanos no presentaron un nivel de detecciones relevante.

Este análisis fue realizado principalmente sobre la variante CY de Mekotio, detectado por las soluciones de ESET como Win32/Spy.Mekotio.CY, la cual está dirigida a usuarios de Chile, el país más afectado por esta familia.

Etapas de infección de Mekotio 

En los años que lleva activo Mekotio se han observado diversos procesos de infección asociados a este código malicioso, variando la cantidad de etapas, los componentes involucrados y demás. Sin embargo, hay una constante entre todos ellos y es la etapa inicial, que comienza por el envío de un correo que contiene un enlace malicioso.

Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.

Una vez abierto el enlace, comienza la descarga automática de un archivo comprimido .zip. Una vez descomprimido el archivo, nos encontramos con su contenido, un instalador .msi.

Cabe destacar, que el instalador cumple la función de downloader y, adicionalmente, establece la persistencia de la amenaza en el dispositivo infectado. 

Los principales comportamientos maliciosos observados son robo de credenciales bancarias con ventanas falsas, robo de contraseñas almacenadas por navegadores web, reemplazo de direcciones de billeteras de bitcoin, Indicadores de compromiso (IoC), tráfico de red y Hashes, sitios web y C&C.