-
El troyano Mekotio se especializa en el robo de bitcoin y credenciales bancarias.
-
Es capaz de reemplazar en el portapapeles una direcciรณn de destino cuando se envรญa bitcoin.
La compaรฑรญa de seguridad informรกtica Eset publicรณ este martes 14 de julio un anรกlisis del malware Mekotio, un troyano que ya ha circulado en paรญses latinoamericanos y Espaรฑa, y que en estos momentos concentra mucha de su actividad en Chile. Entre sus capacidades maliciosas estรก el robo de criptomonedas y de credenciales bancarias, seรฑala Eset.
Desde su apariciรณn en 2018, el troyano Mekotio, dirigido a computadores personales con Windows, ha tenido como objetivo varios paรญses latinoamericanos. Se iniciรณ, segรบn el estudio de Eset, con un fuerte foco en Brasil para luego distribuirse mayoritariamente en Chile, Brasil, y Colombia. Tambiรฉn se han detectado recientemente variantes de este troyano dirigidas a usuarios de Espaรฑa.
Un 50% de los ataques detectados de Mekotio han ocurrido en Chile; 32% en Brasil; y 12%, en Colombia; mientras que en Mรฉxico y Perรบ los porcentajes de penetraciรณn son apenas del 3% en cada paรญs.
Fases de la infecciรณn
La etapa inicial es comรบn a todas las variantes de Mekotio. A travรฉs de una campaรฑa de spam se envรญa un correo electrรณnico, supuestamente de parte de un organismo gubernamental, por ejemplo, o de una operadora telefรณnica. Dicho mensaje envรญa la notificaciรณn de una factura por pagar, con el enlace hacia la supuesta factura impaga.
Cuando el usuario hace click en el enlace, comienza la instalaciรณn del software malicioso que trabajarรก tras bambalinas, para intentar hacerse con las claves de acceso del usuario a sus cuentas bancarias.
Otra forma en que opera es reemplazando direcciones de carteras de bitcoin cuando se estรก realizando un envรญo, en caso de que el usuario copie y pegue la direcciรณn al portapapeles. Mekotio cambia el contenido del portapapeles y si el usuario no se percata de esto, terminarรก enviando los fondos a una direcciรณn bajo control de los hackers.
Las otras fases para lograr instalar el malware comprenden la descarga de dos archivos comprimidos: uno con el instalador y otro con los archivos tipo script que conforman el malware.
El robo de las claves bancarias requiere una identificaciรณn previa de la cuenta que se consulta desde el PC infectado. En el caso de Chile, Mekotio estรก preparado para lanzar ventanas emergentes que imitan la interfaz de 24 bancos, y de 27 instituciones bancarias en el caso de Brasil.
Tal como lo reportรณ CriptoNoticias, un brote de Casbaneiro, de la misma familia de troyanos que Mekotio, fue detectado en octubre de 2019, con versiones adaptadas a Brasil y Mรฉxico.
Como prevenciรณn ante este tipo de ataques, se recomienda no abrir enlaces ni descargar archivos adjuntos contenidos en correos no deseados. En caso de que un archivo comience a descargarse automรกticamente, no abrirlo.
Es necesario ser prudentes al descargar y extraer archivos comprimidos .zip/.rar de fuentes no confiables, asรญ como descargar y ejecutar instaladores .msi o ejecutables .exe, ya que suelen ser utilizados para ocultar malware y esquivar ciertos mecanismos de seguridad. Verificar bien la fuente de los correos electrรณnicos puede ser de las mejores estrategias. Y, por supuesto, contar con un producto de seguridad actualizado.
