Cómo protegerse del troyano bancario Mekotio que ha regresado a España

Después de que la Guardia Civil española haya detenido a 16 sospechosos por presunto blanqueo de capitales, todo indica que este troyano bancario ha vuelto a aparecer. Bajo el nombre de Mekotio, se dirige a las víctimas de España y América Latina con novedosas capacidades y reforzadas técnicas de evasión. En las últimas semanas, de hecho, se han llegado a detectar y bloquear más de 100 ciberataques dirigidos a países de Latinoamérica, especialmente Brasil, Chile, México y Perú, bajo una forma evolucionada de Mekotio. 
 

Nueva táctica para imitar empresas legítimas y recoger credenciales
 

En concreto, se trata de un troyano bancario modular. Procedente de Brasil, la nueva campaña empezó después de que la Guardia Civil española anunciara la detención de 16 personas implicadas en la distribución de Mekotio en el mes de julio de 2021. Pero los responsables redujeron la brecha rápidamente, cambiando de táctica para evitar la detección.
 

Se cree, además, que la cepa de malware Mekotio es obra de grupos de ciberdelincuentes de Brasil que alquilan el acceso a sus herramientas a diferentes bandas responsables de distribuir el troyano, blanqueando fondos. Pensado con la finalidad de atacar equipos Windows, Mekotio utiliza correos electrónicos falsos capaces de imitar a empresas legítimas. Tras la infección, el troyano bancario permanece oculto y espera paciente a que los usuarios se conecten a las cuentas bancarias electrónicas, momento en el que recoge de forma silenciosa sus credenciales.
 

En esta línea, Check Point Research supone que los principales grupos de ciberdelincuentes colaboran con las bandas españolas con el fin de distribuir malware. La citada detención, aunque frenó la actividad de las bandas españolas, no ha cesado la actividad de los principales grupos de atacantes. 
 

De hecho, las recientes observaciones de Check Point Research han arrojado que estos ciberdelincuentes continúan activos. Además, distribuyen una nueva versión de este troyano con nuevas y mejoradas capacidades de ocultación y técnicas de evasión.

¿Cómo funciona la renovada versión de Mekotio?
 

Comienza con un correco electrónico de phishing, escrito en español muchas veces bajo el asunto "Recibo fiscal digital pendiente de presentación", con un enlace a un archivo zip o un archivo comprimido como adjunto. La víctima lo abre y extrae este contenido. Pero el nuevo vector de infección de Mekotio contiene estos elementos inéditos: un archivo batch más sigiloso con al menos dos capas de ofuscación, un nuevo script PowerShell sin archivos que se ejecuta en la memoria y usa Themida v3 para empaquetar la carga útil DLL final.

 

¿Cuáles son las nuevas habilidades de camuflaje y sus técnicas de evasión? 
 

Una de las características clave de Mekotio es su diseño modular: permite cambiar sólo una pequeña parte del conjunto del contenido para evitar su detección. Mekotio también utiliza un antiguo método llamado "cifrado de sustitución" para ocultar el contenido de los archivos y el primer módulo de ataque, evitando ser detectado por la mayoría de los productos antivirus, incorporando a la descarga útil un sofisticado sistema de cifrado, antidepuración y antimonitorización.
 

¿Cómo permanecer protegidos?
 

- Tener cuidado con los dominios parecidos. También con los errores ortográficos en los correos electrónicos o en las páginas web, así como con los remitentes de emails desconocidos.

- Ser siempre precavidos con los archivos recibidos por correo electrónico de personas extrañas. Especialmente si se solicita una acción determinada que no suele realizarse.

- Asegurarse de que los pedidos se realizan a partir de una fuente auténtica. Es decir, no hacer clic en los enlaces promocionales de los mensajes y sempre buscar en Google la tienda deseada, para hacer clic en el enlace de la página de resultados.

- Tener mucho cuidado con las ofertas "especiales" que parezcan oportunidades de compra no fiables o de poca confianza.

- No utilizar las mismas contraseñas para diferentes aplicaciones y cuentas.