¡Cuidado! Existe un nuevo virus que podría robarte tus contraseñas bancarias y vaciar tus cuentas. Se trata de un malware llamado Mekotio, que ya ha afectado a más de 100 víctimas en España y América Latina a través de peligrosos ciberataques a realizados a través del troyano bancario.
Mekotio es un troyano bancario modular cuyos objetivos son las naciones de América Latina, pues el malware procede de Brasil que irrumpe los equipos de las víctimas con un nuevo flujo de infección.
El problema inició en España, luego de que la Guardia Civil española detuviera a 16 sospechosos acusados de blanqueo de capitales y que habrían distribuido Mekotio en julio de 2021.
Especialistas en la materia, como Check Point Research creen que los ciberdelincuentes operan desde Brasil y tienen una estrecha colaboración con diversas bandas españolas que distribuyen el malware.
Pese a la captura de las bandas, los ciberdelincuentes siguen activos y distribuyendo una nueva versión del troyano con mejoradas funciones para ocultarse y evadir a la justicia de España, Brasil, Chile, México y Perú; los principales objetivos de ataque de Mekotio.
¿Cómo opera la nueva y peligrosa versión de Mekotio?
El malware está contenido en un correo electrónico de phishing. El mensaje está escrito en castellano y contiene un enlace a un archivo zip, o bien uno comprimido como adjunto.
En el texto del mensaje se le pide a la víctima que descargue y extraiga el contenido, pues en los correos electrónicos que ya han sido investigados se le pide al usuario que descargue un archivo zip fraudulento desde una página web maliciosa. Aquí los elementos contenidos en la nueva versión de Mekotio:
- Uso de Themida v3 para empaquetar la carga útil DLL final.
- Nuevo script PoweShell sin archivos que se ejecutan de manera directa en la memoria.
- Archivo batch más sigiloso y con al menos dos capas de ofuscación.
Una de las fortalezas de Mekotio es su diseño modular, que brinda a los ciberdelincuentes la posibilidad de cambiar una parte del conjunto para así evitar su detección. El malware también usa un método conocido como "cifrado de sustitución" que oculta el contenido de los archivos y el primer módulo de ataque.
Con información de giztab
Sigue a Heraldo Binario en Google News, dale CLIC AQUÍ.