Dólar cripto

(-1,51%)

$ 1.187,00

Bitcoin

(2,73%)

u$s 102.454,00

Ethereum

(3,64%)

u$s 2.279,90

Solana

(5,14%)

u$s 137,03

Ripple

(2,61%)

u$s 2,03

Cardano

(3,64%)

u$s 0,55

Avalanche

(4,84%)

u$s 16,96

Polkadot

(1,46%)

u$s 3,23

Chainlink

(3,89%)

u$s 11,90

Arbitrum

(5,97%)

u$s 0,28

Fuente

Atención inversores Revelan qué porcentaje del sueldo hay que invertir en acciones o Bitcoin Más información

Innovación

Mekotio es un troyano bancario modular que lanza una cadena de infección con un mail falso con el mensaje: "recibo fiscal digital pendiente de envío"

Por iProUP

11.11.2021 • 14:15hs • Ciberseguridad

Ciberseguridad

Un nuevo malware roba información personal tras simular ser un recibo: como protegerse del troyano

Check Point Research (CPR), la división de Inteligencia de amenazas de Check Point® Software Technologies Ltd. un proveedor especializado en ciberseguridad a nivel mundial, alertó a los navegantes de internet después de que la Guardia Civil española detuviese a 16 sospechosos acusados de blanqueo de capitales. Pero la preocupación sería por la reaparición de un troyano bancario utilizado para este tipos de delitos.

Con el nombre de Mekotio, este malware se dirige principalmente a víctimas de España y América Latina con nuevas capacidades y técnicas de evasión. En las últimas semanas, se detectaron y bloquearon más de 100 ciberataques dirigidos a países latinoamericanos que aprovechan una forma evolucionada del troyano bancario.

Mekotio, procedente de ciberdelincuentes de Brasil, volvió a aparecer recientemente con un nuevo flujo de infección. La nueva campaña comenzó justo después de que la Guardia Civil española anunciara la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021.

Aparentemente, la banda detrás del malware fue capaz de reducir la brecha rápidamente y cambiar de táctica para evitar la detección.

Se cree que la cepa de malware es obra de grupos de ciberdelincuentes que se encargan de alquilar el acceso a sus herramientas a otras bandas responsables de distribuir el troyano y blanquear fondos.

Desarrollado para atacar equipos Windows, Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas. Una vez infectada la víctima, el troyano bancario permanece oculto, esperando a que los usuarios se conecten a las cuentas bancarias electrónicas, recogiendo silenciosamente sus credenciales.

Mekotio es conocido por utilizar correos electrónicos falsos que imitan a empresas legítimas

Desde Check Point Research opinaron que los principales grupos de ciberdelincuentes operan desde Brasil y vienen colaborando con las bandas españolas para distribuir malware. La detención frenó la actividad de las bandas españolas, pero no la de los grupos de ciberdelincuentes centrales

Las recientes observaciones de Check Point Research revelaron que estos ciberdelincuentes siguen activos, distribuyendo una nueva versión de este troyano. España, Brasil, Chile, México y Perú fueron históricamente los objetivos de Mekotio, incluyendo los recientes ciberdelincuentes captados por los investigadores.

Cómo funciona el troyano Mekotio

La infección comienza y se distribuye con un correo electrónico de phishing, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto. El mensaje atrae a la víctima para que descargue y extraiga este contenido.

Los e-mails captados por los investigadores reclaman a la víctima objetivo un "recibo fiscal digital pendiente de presentación". Cuando las víctimas hacen clic en el enlace, se descarga un archivo fraudulento desde un sitio web malicioso.

El nuevo vector de infección de Mekotio contiene estos elementos inéditos:

Un archivo batch más sigiloso con al menos dos capas de ofuscación
Un nuevo script PowerShell sin archivos que se ejecuta directamente en la memoria
Uso de Themida v3 para empaquetar la carga útil DLL final

En los últimos 3 meses, se vio una evolución de los ataques que emplean nuevas y sencillas técnicas de ofuscación, con la ayuda de un cifrado de sustitución, para ocultar el primer módulo del ataque. Esta sencilla técnica de ocultación que permite que no sea detectado por la mayoría de los softwares de protección.

El modus operandi de Mekotio es a través del phishing, que contiene un enlace a un archivo zip o un archivo comprimido como adjunto

Nuevas habilidades de camuflaje y técnicas de evasión

Una de las características clave de Mekotio es su diseño modular, que da a los ciberdelincuentes la posibilidad de cambiar sólo una pequeña parte del conjunto para evitar su detección. Además, Mekotio utiliza un antiguo método llamado "cifrado de sustitución" para ocultar el contenido de los archivos y el primer módulo de ataque.

Esta sencilla técnica de evita ser detectado por la mayoría de los productos antivirus. Además, estos ciberdelincuentes utilizan una nueva versión de una herramienta comercial llamada "Themida", que incorpora a la descarga útil un sofisticado sistema de cifrado, antidepuración y antimonitorización.

Ejemplo del correo que distribuye el grupo de ciberdelincuentes que opera bajo el alias de Mekotio

"Aunque la Guardia Civil española anunció la detención de 16 personas implicadas en la distribución de Mekotio en julio de 2021, parece que la banda detrás del malware sigue activa. Tenemos claro que han desarrollado y distribuido una nueva versión que tiene capacidades de ocultación y técnicas de evasión mucho más eficaces.

Existe un peligro muy real de que robe nombres de usuario y contraseñas, con el fin de entrar en las instituciones financieras. De ahí que las detenciones hayan frenado la actividad de las bandas españolas, pero no la de los principales grupos de ciberdelincuentes que están detrás.

Sabemos algunas cosas sobre los ciberdelincuentes que están detrás de Mekotio, que operan desde Brasil y colaboran con bandas europeas para distribuir el malware:

Les gusta utilizar una infraestructura de entrega en varias etapas para evitar la detección

Utilizan principalmente correos electrónicos de phishing como primer vector de infección

Usan entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos

Te puede interesar

Esta cadena de supermercados multinacional cierra una ambiciosa alianza con Meta

Instamos a los usuarios de las regiones objetivo conocidas de Mekotio a que utilicen la autenticación de dos factores siempre que esté disponible y a que tengan cuidado con los dominios parecidos, los errores ortográficos en los emails o las páginas web y los remitentes de correo electrónico desconocidos", alertó Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Cómo mantenerse protegido

Tener cuidado con los dominios parecidos, con los errores ortográficos en los correos electrónicos o en las páginas web y con los remitentes de e-mails desconocidos
Es preciso ser precavido con los archivos recibidos por correo electrónico de personas extrañas, sobre todo si solicitan una acción determinada que no se suele realizar
Asegurarse de que los pedidos se realizan a una fuente auténtica. Una forma de hacerlo es no hacer clic en los enlaces promocionales de los mensajes y, en su lugar, buscar en Google la tienda deseada y hacer clic en el enlace de la página de resultados
Hay que tener cuidado con las ofertas "especiales" que no parecen ser oportunidades de compra fiables o de confianza
Garantizar que no se reutilizan las contraseñas entre diferentes aplicaciones y cuentas

Temas relacionados

Tendencias digitales: ¿cuál es la red social favorita de los argentinos en 2025?

Esto pasaría en el mundo si la Inteligencia Artificial acaba con la humanidad, según expertos

Paso a paso para usar ChatGPT en WhatsApp: qué ventajas trae

Argentina objeta la compra de Telefónica por Telecom: qué dice el informe oficial y qué puede pasar

Precio de Solana: cuánto vale en Argentina y a nivel global hoy, 23 de junio de 2025

Precio de XRP: cuánto vale en Argentina y a nivel global hoy, 23 de junio de 2025

Precio de Ethereum: cuánto vale en Argentina y a nivel global hoy, 23 de junio de 2025

Precio de Bitcoin: cuánto vale en Argentina y a nivel global hoy, 23 de junio de 2025

Los profesionales argentinos que superan en demanda a programadores en la región: cobran hasta $6 millones

¿En qué consiste el fondo que se presenta como alternativa a la indemnización por despido?

La contundente advertencia del CEO de Amazon sobre el futuro del trabajo y el avance de la inteligencia artificial

Con pocos requisitos y un importante sueldo: Mercado Libre busca empleados en junio

Te puede interesar

Por encima de Jeff Bezos y Bill Gates: Quién es Larry Ellison, el segundo hombre más rico del mundo

Así es Gemini Flash Lite, la nueva IA de Google más rápida y económica

OpenAI vs. Microsoft: ¿por qué la creadora de ChatGPT planea denunciar al gigante de software?

Aceleradora argentina aliada de Coca-Cola y Arcor lanza programa para potenciar startups

El avance de la IA redefine la estructura de Amazon: el CEO advierte una nueva ola de despidos

WhatsApp renueva los Estados con una herramienta que tomó directamente de Instagram

Así podés hacer crecer tu web sin gastar un peso y que todos vean tu emprendimiento

Cuidado al poner "Llamar a Mercado Pago" en Google: podés ser víctima de una estafa

Casi la mitad de las empresas argentinas pierde hasta u$s5 millones al año por fallos de software

Rival chino de Tesla llega a Argentina: su auto eléctrico costará igual que un naftero

Otra firma quiere superar a Nvidia en desarrollo de chips con IA: cuál es y qué planes tiene

Elon Musk, imparable: busca recaudar nueva suma millonaria para su startup xAI

Así es la nueva herramienta de TikTok que ayuda a las PyMEs a optimizar sus ventas

Llegó el Teleprompter a Instagram Edits: así es la herramienta que te ayuda a narrar tus videos

Cuál es la billetera virtual que paga más por tus saldos en dólares