Las instituciones financieras de América Latina están siendo «acosadas» por
los troyanos bancarios llamados
Mekotio
(también conocido como Melcoz) y
Grandoreiro.
Según los
hallazgos de Trend Micro, recientemente observó un aumento en los ataques cibernéticos que
distribuyen el malware de Windows. Se sabe que Mekotio, que se utiliza
activamente desde 2015, apunta a países latinoamericanos como Argentina,
Brasil, Chile, México, España, Perú y Portugal con el objetivo de robar
credenciales bancarias.
Documentado por ESET
y Kaspersky, Mekotio es parte de una
tetrada de troyanos bancarios
dirigidos a la región Guildma, Javali y
Grandoreiro, este último de los cuales fue «desmantelado» por las autoridades a principios
de este año pero cuya red sigue en funcionamiento.
«Mekotio y Grandoreiro comparten características comunes a este tipo de
malware, como estar escrito en Delphi, utilizar ventanas emergentes falsas,
contener funcionalidad de puerta trasera y apuntar a países de habla hispana
y portuguesa».
La operación de
Mekotio sufrió un duro golpe en julio de 2021
cuando las fuerzas del orden españolas arrestaron a 16 personas pertenecientes
a una red criminal en relación con la orquestación de campañas de ingeniería
social dirigidas a usuarios europeos que entregaban Grandoreiro y Mekotio.
Las cadenas de ataques implican el uso de correos electrónicos de phishing con
temas fiscales que tienen como objetivo engañar a los destinatarios para que
abran archivos adjuntos maliciosos o hagan clic en enlaces falsos que conducen
a la implementación de un archivo de instalación MSI, que, a su vez, utiliza
un script AutoHotKey (AHK) para iniciar el malware.
Vale la pena señalar que el proceso de infección marca una ligera desviación
del
detallado anteriormente por Check Point en noviembre de 2021, que utilizó un archivo BAT ofuscado que ejecuta otros script de
PowerShell para descargar un archivo ZIP de segunda etapa que contiene el
script AHK. Una vez instalado, los troyanos recopilan información del
sistema y establece contacto con un servidor de comando y control (C2) para
recibir más instrucciones.
Su principal objetivo es desviar credenciales bancarias mostrando ventanas
emergentes falsas que se hacen pasar por sitios bancarios legítimos. También
puede realizar capturas de pantalla, registrar pulsaciones de teclas, robar
datos del portapapeles y establecer persistencia en el host mediante tareas
programadas.
Los actores de amenazas pueden utilizar la información robada para obtener
acceso no autorizado a las cuentas bancarias de los usuarios y realizar
transacciones fraudulentas.
Estos troyanos bancarios son amenazas persistentes y en evolución para los
sistemas financieros, especialmente en los países latinoamericanos. Utilizan
correos electrónicos de phishing para infiltrarse en los sistemas, con el
objetivo de robar información confidencial y al mismo tiempo mantener un
fuerte control en las máquinas comprometidas.
El desarrollo se produce cuando la firma mexicana de ciberseguridad Scitum
reveló detalles de un nuevo troyano bancario latinoamericano con nombre en
código
Red Mongoose Daemon
que, similar a Mekotio, utiliza cuentagotas MSI distribuidos a través de
correos electrónicos de phishing disfrazados de facturas y notas fiscales.
«El objetivo principal de Red Mongoose Daemon es robar la información
bancaria de las víctimas
falsificando transacciones PIX
a través de ventanas superpuestas», dijo la compañía.
«Este troyano está dirigido a usuarios finales brasileños y empleados de
organizaciones con información bancaria».
«Red Mongoose Daemon tiene capacidades para manipular y crear ventanas,
ejecutar comandos, controlar la computadora de forma remota, manipular
navegadores web, secuestrar portapapeles y hacerse pasar por billeteras
Bitcoin reemplazando billeteras copiadas con las utilizadas por los
ciberdelincuentes».
Fuente: THN