Cybersecurity News

Engaño masivo en Chile: Mekotio suplanta al gobierno para distribuir malware

February 27, 2025

Un nuevo ciberataque está en curso en Chile, dirigido a usuarios desprevenidos mediante una alerta falsa de apagón eléctrico. Ciberdelincuentes han suplantado al Ministerio de Energía con el objetivo de distribuir el troyano bancario Mekotio, disfrazado en un archivo MSI que aparenta ser un documento legítimo. La campaña ya ha registrado descargas potenciales y emplea técnicas avanzadas de ingeniería social para engañar a los usuarios.

Suplantación del Ministerio de Energía

Los atacantes han diseñado un mensaje fraudulento haciéndose pasar por el Ministerio de Energía de Chile. Este mensaje busca generar pánico y urgencia en los usuarios, incentivándolos a descargar un supuesto documento con instrucciones para afrontar un corte de luz. Sin embargo, el archivo descargado es malicioso.

Engaño masivo en Chile: Mekotio suplanta al gobierno para distribuir malware

Al hacer clic en el enlace de descarga, los usuarios obtienen un archivo con la extensión .msi, que parece inofensivo, pero en realidad es el vector del ataque.

Uso de un archivo MSI malicioso

El archivo descargado es un instalador MSI basado en PDQ Deploy, un software legítimo de administración remota. Los atacantes lo han modificado para que, al ejecutarse, descargue y active Mekotio en segundo plano sin levantar sospechas.

Engaño masivo en Chile: Mekotio suplanta al gobierno para distribuir malware

Inicialmente, el análisis en VirusTotal mostró que el archivo no era detectado por la mayoría de los motores antivirus, lo que aumentó su efectividad. No obstante, ya está siendo identificado por varias soluciones de seguridad.

Engaño masivo en Chile: Mekotio suplanta al gobierno para distribuir malware
Ejecución del payload malicioso

Una vez instalado, Mekotio comienza a ejecutarse en el sistema, recopilando información sensible de la víctima. Entre las acciones que realiza se incluyen:

  • Robo de credenciales bancarias al interceptar formularios en navegadores.
  • Captura de datos del sistema como dirección IP y detalles del dispositivo.
  • Persistencia en el equipo para ejecutarse cada vez que la computadora se inicia.

El malware está programado en lenguajes como PowerShell y VBScript, utilizando técnicas avanzadas de ofuscación para evitar detección.

Infraestructura utilizada en la campaña

Los atacantes han utilizado varios dominios para distribuir el malware y alojar los archivos maliciosos. Algunos de estos incluyen:

  • meridianeyeyecare[.]COM
  • inovia[.]com[.]ao
  • greatcreekcanines[.]COM
  • gptplan[.]Ro

El panel de control muestra que más de 100 usuarios ya han sido afectados. Esta cifra podría seguir aumentando a medida que la campaña siga activa.

Conclusión

El ataque de Mekotio en Chile evidencia cómo la ingeniería social sigue siendo un método altamente efectivo para distribuir malware mediante la suplantación de entidades gubernamentales. La rápida propagación del archivo MSI, junto con su inicial baja detección por antivirus, subraya la necesidad de fortalecer las estrategias de ciberseguridad tanto a nivel institucional como individual. Además, la infraestructura utilizada por los atacantes demuestra un uso estratégico de dominios legítimos comprometidos para evadir detección y maximizar el alcance del ataque.

Recomendaciones
  • Concientización y educación: Implementar campañas informativas para alertar a la población sobre ataques de phishing y malware distribuidos mediante correos electrónicos y mensajes fraudulentos.
  • Verificación de fuentes: Antes de descargar archivos o acceder a enlaces, los usuarios deben confirmar la autenticidad del remitente y consultar directamente con las entidades gubernamentales en caso de dudas.
  • Fortalecimiento de la ciberseguridad: Empresas y entidades deben actualizar sus soluciones de seguridad, implementar filtros avanzados para detectar tráfico malicioso y reforzar el monitoreo de actividades sospechosas.
  • Bloqueo de dominios maliciosos: Se recomienda que los proveedores de servicios y empresas configuren bloqueos en sus sistemas para impedir el acceso a los dominios identificados en la campaña maliciosa.
  • Análisis forense y colaboración: Las autoridades deben investigar el ataque y compartir indicadores de compromiso con otras organizaciones para prevenir futuras infecciones.
  • Implementación de autenticación multifactor (2FA): Para mitigar el impacto del robo de credenciales bancarias, se recomienda activar autenticación multifactor en las cuentas de los usuarios.
INDICADORES de compromiso
Related Posts
Clear Filters
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Cybersecurity News Vulnerabilities
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global

PUNTOS CLAVES Medusa Ransomware ha comprometido infraestructuras críticas en sectores como salud, gobierno y energía. Utiliza un modelo de doble…

Read More
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Cybersecurity News
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?

Palo Alto Networks ha emitido nuevos avisos de seguridad que afectan a varios de sus productos clave, incluyendo Prisma Access,…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required