El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, continua con sus labores de investigación sobre troyanos bancarios procedentes de Latinoamérica, una de las amenazas más notorias en los últimos meses. Es el caso de Mekotio, un troyano bancario que está afectando especialmente a países de habla hispana y portuguesa, sobre todo a Brasil, Chile, México, Perú, Portugal y España. Este malware realiza acciones típicas de los backdoor, entre las que se incluyen la toma de capturas de pantalla, el reinicio de las máquinas afectadas, las restricciones de acceso a webs legítimas de banca online y, en algunas variantes, incluso el robo de bitcoins o la extracción de credenciales almacenadas en Google Chrome.
Mekotio está activo desde al menos 2015 y comparte características con otros troyanos bancarios analizados por ESET, como el hecho de estar escrito en Delphi, utilizar ventanas emergentes y contar con funcionalidades de backdoor. Para no ser descubierto, en la medida de lo posible Mekotio intenta hacerse pasar por una actualización de seguridad mediante la aparición en pantalla de un mensaje específico. Entre la información técnica a la que accede Mekotio en los dispositivos de sus víctimas se encuentra información acerca de la configuración del firewall, los privilegios de administrador, la versión de Windows o la lista de productos y soluciones antifraude y antimalware instalados. Uno de los comandos incluso intenta inutilizar el sistema eliminando todas las carpetas y archivos del directorio C:\Windows.
“La característica más importante de las nuevas variantes de esta familia es el uso de una base de datos SQL como servidor de mando y control, así como la forma en la que utiliza el intérprete AutoIt como su primer método de ejecución”, confirma Robert Šuman, investigador de ESET que lidera el equipo de analistas centrados en Mekotio.
Mekotio se distribuye sobre todo mediante spam. Desde 2018, ESET ha encontrado 38 cadenas de distribución diferentes, la mayoría de las cuales consisten en diferentes pasos que concluyen con la descarga de un archivo comprimido ZIP, una de las características comunes a los troyanos bancarios latinoamericanos.
“Mekotio ha seguido un camino bastante caótico en su desarrollo, con funciones modificadas muy a menudo. De hecho, basándonos en su historial de versiones interno, creemos que existen diferentes variantes que se desarrollan al mismo tiempo”, añade Suman.
Para más información sobre Mekotio y los troyanos bancarios latinoamericanos, se puede visitar el blog de ESET.