Investigadores de la ciberseguridad descubrieron nuevas variantes del troyano conocido como Mekotio, un malware que se vio por primera vez en 2015 y que en 2023 continúa con una importante actividad en varios países de América Latina, principalmente en Argentina, según alerta la compañía ESET.
Este virus tiene como objetivo robar información financiera de las personas, especialmente credenciales para acceder a cuentas bancarias o robar datos de tarjetas de crédito.
Mekotio integra la lista de troyanos bancarios de América Latina, una familia de programas maliciosos que tienen capacidad de realizar distintas acciones maliciosas pero que se destacan por suplantar la identidad de bancos mediante ventanas emergentes falsas y de esta manera robar información sensible de las víctimas.
"Hemos analizado detalladamente varias de estas familias de malware, que si bien tienen como principal objetivo robar información financiera, también tienen otras capacidades", explica ESET.
En lo que va de 2023 se detectaron más de 70 variantes de Mekotio. Si bien en 2021 las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas a los troyanos bancarios Mekotio y Grandoreiro, se cree que los desarrolladores de Mekotio colaboraban con otros grupos de cibercriminales, lo que explica que siga tan activo este malware.
En América Latina, las detecciones de los sistemas de ESET muestran que Argentina (52%) es el país con más actividad de este Mekotio, seguido por México (17%), Perú (12%), Chile (10%) y Brasil (3%).
¿Cómo ataca el troyano Mekotio?
El cuerpo del correo contiene la instrucción de “abrir en una computadora con Windows”. Esto probablemente está relacionado a que el malware está orientado a este sistema operativo.
El mensaje incluye un enlace que en caso de hacer clic descarga un archivo comprimido (.zip) que simula ser la supuesta factura, pero al ser descomprimido se extrae un archivo de instalación de Windows (MSI). Este archivo contiene varios elementos, entre ellos, un archivo DLL (Binary.tlsBpYCH.dll) que contiene una variante del malware Mekotio.
Además de robar información financiera, este troyano es capaz de realizar otras acciones maliciosas en el equipo comprometido. Por ejemplo, es capaz de recopilar información como el sistema operativo que corre en el equipo de la víctima, soluciones antifraude o antimalware instaladas. Además, el malware intenta mantenerse oculto en el equipo infectado utilizando llaves de registro de arranque y ofrece a los atacantes capacidades típicas de backdoor.
¿Cómo detectar los troyanos bancarios?
En este caso se trata de un correo electrónico que llega de forma inesperada haciendo referencia a una factura. Por lo tanto, la primera recomendación es no hacer clic en enlaces o archivos adjuntos que llegan de manera inesperada.
Por otra parte, contar en la computadora o en el smartphone con un programa o aplicación de seguridad que ofrezcan herramientas antispam que bloqueen y eliminen estos correos de malspam y en todo caso que detecten el programa malicioso y eviten su instalación.