Mekotio está especialmente dirigido al robo de información financiera sobretodo de cuentas bancarias y tarjetas de crédito
El ciberespacio sigue siendo un terreno de batalla donde los actores maliciosos se esfuerzan por explotar las vulnerabilidades de sistemas y usuarios desprevenidos. En América Latina, un malware conocido como Mekotio ha mantenido una presencia constante y amenazante desde su primera aparición en 2015. Este malware se ha especializado en el robo de información financiera, centrándose en la obtención de credenciales de acceso a cuentas bancarias y la sustracción de datos de tarjetas de crédito.
En España, las fuerzas de seguridad han llevado a cabo operaciones para desmantelar grupos involucrados en el desarrollo y distribución de troyanos bancarios, incluido Mekotio.
Conociendo a Mekotio
Mekotio forma parte de la familia de troyanos bancarios en América Latina, un grupo de programas maliciosos diseñados para llevar a cabo diversas acciones dañinas, pero que se destacan por su capacidad para suplantar la identidad de bancos a través de ventanas emergentes falsas, con el fin de robar información confidencial de las víctimas. Aunque el principal objetivo de estos troyanos bancarios es el robo de información financiera, también poseen otras capacidades maliciosas.
En el caso de Mekotio, durante el transcurso de 2023 se han detectado más de 70 variantes de este troyano bancario. A pesar de que las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas a los troyanos bancarios Mekotio y Grandoreiro en 2021, se cree que los desarrolladores de Mekotio colaboraban con otros grupos de cibercriminales, lo que explica la persistencia y la actividad continua de este malware. En América Latina, las detecciones realizadas por los sistemas de ESET revelan que Argentina lidera con un 52% de actividad de Mekotio, seguida por México con un 17%, Perú con un 12%, Chile con un 10% y Brasil con un 3%.
Además de los países latinoamericanos, otras naciones, como España, Italia y Ucrania, también han registrado detecciones de esta amenaza, lo que indica que los ciberdelincuentes han expandido sus campañas a nivel global.
Campaña Dirigida a México
Recientemente, se analizó una campaña que tenía como objetivo la distribución de Mekotio en México. Esta campaña se propagó a través de correos electrónicos de spam maliciosos, que utilizaban como señuelo la emisión de una supuesta factura. El correo electrónico se hacía pasar por una conocida empresa multinacional de México.
El cuerpo del correo incluía instrucciones específicas para «abrir en una computadora con Windows». Este detalle sugiere que el malware estaba diseñado para orientarse a sistemas operativos Windows.
El mensaje contenía un enlace que, al hacer clic, descargaba un archivo comprimido con el nombre «ID-FACT.1684803774.zip». Este archivo simulaba ser la factura mencionada, pero al descomprimirlo, se revelaba un archivo de instalación de Windows (MSI) denominado «FACT646c1.msi». En este archivo se incluían varios elementos, entre ellos, un archivo DLL («Binary.tlsBpYCH.dll») que contenía una variante del malware Mekoti. En este caso, la solución de seguridad de ESET lo detectó como «Win32/Spy.Mekotio.GO».
Como se mencionó anteriormente, Mekotio no se limita al robo de información financiera, sino que también es capaz de llevar a cabo otras acciones maliciosas en el sistema comprometido. Además de recolectar información, como el sistema operativo en uso y las soluciones antifraude o antimalware instaladas, el malware intenta mantenerse oculto en el dispositivo infectado y proporciona a los atacantes capacidades típicas de una puerta trasera (backdoor).