Mekotio: un troyano que roba credenciales bancarias en América Latina

Mekotio es una familia de troyanos bancarios que apunta a sistemas Windows y tiene como objetivo obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas. En su análisis, ESET, compañía líder en detección proactiva de amenazas, revela que el malware apunta a más de 51 instituciones bancarias. En un principio tuvo como único objetivo a usuarios de países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose en Chile. Sin embargo, en el transcurso de los últimos meses se han registrado variantes de Mekotio dirigidas especialmente a usuarios de España, lo que indica que los cibercriminales están expandiendo sus operaciones constantemente.

En cuanto a las detecciones de Mekotio en América Latina, Chile es el país en el que se registra la mayor cantidad por amplia diferencia, seguido por Brasil y México, con un nivel de detecciones medio, y luego por Perú, Colombia, Argentina, Ecuador y Bolivia, que presentan un nivel de detecciones bajo. El resto de los países latinoamericanos no presentaron un nivel de detecciones relevante.

“Es importante destacar que un bajo número de detecciones no implica que la amenaza no esté presente en otros países de Latinoamérica. A su vez, debe considerarse que, si los atacantes lo consideraran rentable, podría haber nuevas campañas dirigidas específicamente a países que actualmente no presentan detecciones, como es el caso de España.”, menciona Daniel Kundro, analista de malware de ESET Latinoamérica.

El proceso de infección comienza con una campaña de spam. Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.

En el ejemplo, la estrategia utilizada para engañar a la potencial víctima es un correo que aparenta provenir de una entidad gubernamental en el cual se envía el comprobante de pago de un impuesto. El objetivo es despertar la curiosidad del usuario, ya que, si éste efectivamente realizó el pago de un impuesto, probablemente le interese guardar el comprobante; si no realizó tal acción, puede que haya un error de cobro y tenga interés en saber más sobre el asunto. En ambos casos, si el usuario decide abrir el enlace para descargar el supuesto comprobante, ya habrá dado inicio al proceso de infección.

Al tratarse de una amenaza sostenida en el tiempo y presente en múltiples países, a través de versiones específicas dirigidas puntualmente a cada uno de ellos, es normal encontrar cierta variabilidad en las actividades maliciosas llevadas a cabo por las diferentes muestras analizadas. Sin embargo, hay un factor común entre todas ellas: buscan robar dinero y/o credenciales bancarias. Los principales comportamientos maliciosos observados por ESET en las muestras analizadas son:

• Robo de credenciales bancarias con ventanas falsas: Esta amenaza monitorea constantemente los sitios web a los cuales se accede desde el navegador. En caso de haber ingresado al sitio de alguno de los bancos de interés para los atacantes, el malware desplegará una ventana de inicio de sesión falsa que simula ser de la institución bancaria. El objetivo es que el usuario ingrese allí sus credenciales de acceso al sistema. Una vez obtenidas, las mismas son enviadas a un servidor remoto dedicado a almacenar la información robada.

Esta funcionalidad de Mekotio está dirigida específicamente a usuarios de banca electrónica de un conjunto reducido de países. Al analizar las muestras dirigidas a Chile, se descubrió que el malware busca robar las credenciales de acceso a los portales de banca electrónica de los 24 bancos con mayor presencia en el país. En el caso de Brasil, la misma dinámica se repite, apuntando a 27 instituciones bancarias.

• Robo de contraseñas almacenadas por navegadores web: Una peculiaridad que caracteriza a algunas variantes de Mekotio es la capacidad de robar las credenciales de acceso almacenadas en el sistema por algunos navegadores web, como Google Chrome y Opera. Generalmente, al intentar acceder a un sitio web usando un formulario de log-in, el navegador pregunta al usuario si quiere guardar la contraseña en el equipo y, en caso de autorizarlo, procede a hacerlo. Además, junto con la contraseña también se almacena el usuario y el sitio web asociado a la cuenta a la que se acaba ingresar. Esta funcionalidad maliciosa no se limita únicamente al robo de credenciales bancarias, sino que afecta a todas las cuentas cuyos datos también hayan sido almacenados en el sistema por estos navegadores.

• Reemplazo de direcciones de billeteras de bitcoin: Esta funcionalidad maliciosa consiste en reemplazar las direcciones de billeteras de bitcoin copiadas al portapapeles por la dirección de la billetera del atacante. De esta manera, si un usuario infectado quiere hacer una transferencia o un depósito a una dirección determinada y utiliza el comando copiar (clic derecho-copiar/ctrl+c) en lugar de escribirla manualmente, al querer pegar (clic derecho-pegar/ctrl+v) no se pegará la dirección a la que pretendía hacerse la transferencia, sino la dirección del atacante. Si el usuario no se percata de esta diferencia y decide continuar con la operación, acabará enviando el dinero directamente al atacante.

“Los usuarios que utilizan servicios de banca electrónica y residen en los países con mayores niveles de detecciones deben mantenerse más alertas. Esto no significa que quienes se encuentran en países que aún no han sido alcanzados por estas campañas no deban tener cierta precaución ya que, si los atacantes comienzan a enfocar sus esfuerzos en nuevas regiones, podrían pasar a ser un nuevo blanco de la amenaza.”, agrega Kundro.

Desde ESET recomiendan aplicar buenas prácticas y criterios de seguridad, para evitar ser víctimas de Mekotio. Algunas de las más importantes, con relación directa a esta amenaza, son:

• No abrir enlaces contenidos en correos no deseados.
• No descargar archivos adjuntos en correos no deseados.
• En caso de que un archivo comience a descargarse automáticamente, no abrirlo.
• Ser prudentes al descargar y extraer archivos comprimidos .zip/.rar de fuentes no confiables, ya que suelen ser utilizados para ocultar malware y esquivar ciertos mecanismos de seguridad.
• Ser especialmente prudentes a la hora de descargar/ejecutar instaladores .msi o ejecutables .exe, verificando su legitimidad y sometiéndolos al análisis de un producto de seguridad.
• Contar con un producto de seguridad actualizado.
• Mantener el software de los equipos actualizados.

“En cada uno de los puntos mencionados, el objetivo es cortar alguno de los pasos del proceso de infección e instalación. De lograrlo, Mekotio no llegaría a ejecutarse. Desde ESET apostamos a la educación y concientización como principal elemento de protección. Una vez que conocemos los riesgos podemos prevenirlos, tomando las medidas necesarias y disfrutar de la tecnología de manera segura.”, concluye Daniel Kundro, analista de malware de ESET Latinoamérica.

En el contexto de aislamiento por el COVID-19, ESET comparte #MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que ayudan aprovechar los días en casa y garantizar la seguridad de los más chicos mientras se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos online que ayudan a sacar el mayor provecho de la tecnología y Digipadres, para leer consejos sobre cómo acompañar y proteger a los niños en la Web.