Las instituciones financieras en América Latina están siendo amenazadas por un troyano bancario conocido como Mekotio (también llamado Melcoz). Según los hallazgos de Trend Micro, se ha observado un aumento en los ciberataques que distribuyen este malware para Windows.
Activo desde 2015, Mekotio tiene como objetivo robar credenciales bancarias en países latinoamericanos como Brasil, Chile, México, Perú, así como en España y Portugal. Documentado por primera vez por ESET en agosto de 2020, Mekotio es parte de un grupo de troyanos bancarios que incluyen a Guildma, Javali y Grandoreiro, este último desmantelado por las fuerzas del orden a principios de este año.
“Mekotio comparte características comunes de este tipo de malware, como estar escrito en Delphi, usar ventanas emergentes falsas, contener funcionalidades de puerta trasera y dirigirse a países de habla hispana y portuguesa,” señaló la firma de ciberseguridad eslovaca.
En julio de 2021, las agencias de aplicación de la ley españolas arrestaron a 16 personas pertenecientes a una red criminal relacionada con campañas de ingeniería social que entregaban Grandoreiro y Mekotio. Las cadenas de ataque utilizan correos electrónicos de phishing con temas fiscales para engañar a los destinatarios a abrir archivos adjuntos maliciosos o hacer clic en enlaces falsos que conducen a la instalación de un archivo MSI, el cual usa un script AutoHotKey (AHK) para lanzar el malware.
La Cadena de Infección del Daemon Red Mongoose
El proceso de infección ha mostrado una ligera desviación del método detallado por Check Point en noviembre de 2021, que usaba un script batch ofuscado para ejecutar un script PowerShell que descargaba un archivo ZIP de segunda etapa que contenía el script AHK.
Una vez instalado, Mekotio recolecta información del sistema y establece contacto con un servidor de comando y control (C2) para recibir instrucciones adicionales. Su objetivo principal es robar credenciales bancarias mostrando ventanas emergentes falsas que imitan sitios bancarios legítimos. También puede capturar pantallas, registrar pulsaciones de teclas, robar datos del portapapeles y establecer persistencia en el sistema comprometido mediante tareas programadas.
La información robada puede ser utilizada por los actores de amenazas para acceder a cuentas bancarias de los usuarios y realizar transacciones fraudulentas. “El troyano bancario Mekotio es una amenaza persistente y en evolución para los sistemas financieros, especialmente en países de América Latina,” afirmó Trend Micro. “Usa correos electrónicos de phishing para infiltrarse en los sistemas, con el objetivo de robar información sensible mientras mantiene un fuerte control sobre las máquinas comprometidas.”
Este desarrollo coincide con la divulgación por parte de la empresa mexicana de ciberseguridad Scitum de un nuevo troyano bancario latinoamericano denominado Red Mongoose Daemon. Al igual que Mekotio, utiliza archivos MSI distribuidos a través de correos electrónicos de phishing que se hacen pasar por facturas y notas fiscales.
“El objetivo principal de Red Mongoose Daemon es robar información bancaria de las víctimas suplantando transacciones PIX mediante ventanas superpuestas,” indicó la empresa. “Este troyano está dirigido a usuarios finales brasileños y empleados de organizaciones con información bancaria.”
Red Mongoose Daemon tiene capacidades para manipular y crear ventanas, ejecutar comandos, controlar el ordenador de forma remota, manipular navegadores web, secuestrar portapapeles e imitar billeteras de Bitcoin reemplazando las copias con las utilizadas por los ciberdelincuentes.
