Los troyanos bancarios Mekotio y Grandoreiro no han pasado a mejor vida y continúan dando guerra.
En esta ocasión lo hace mencionando de manera genérica la existencia de una factura emitida y que estaría pendiente de pago. Aunque en el correo no se adjunta ningún archivo para comprobar este supuesto documento sí que se proporcionan unos enlaces para descargar la factura.
En realidad, al hacer la descarga se está abriendo las puertas a la infección de numerosos sistemas. La descarga es de un fichero MSI, algo habitual cuando se trata de troyanos bancarios de estas familias.
Este fichero es el encargado de actuar como iniciador de la cadena de infección, volcando un ejecutable en el sistema de nombre lakdadh8.exe que será el responsable de iniciar la segunda fase de la infección, según explica Josep Albors, director de investigación y concienciación de ESET España, en un post. Esta ha variado y el fichero está empaquetado en Themida, conteniendo tres ficheros dentro.
"El análisis reciente de una nueva muestra de Grandoreiro y la muestra de hoy de Mekotio demuestran que los delincuentes detrás de estas familias de troyanos bancarios siguen activos y buscando nuevas víctimas entre los usuarios españoles", advierte Albors.
Una detención que no detuvo al troyano
En julio del año pasado la Guardia Civil detuvo a 16 sospechosos acusados de blanqueo de capitales, pensando que con esta operación habían neutralizado la amenaza. En realidad, habrían acabado con la actividad de las bandas españolas, pero no con las de los principales grupos de ciberdelincuentes.
Mekotio no tardó en volver a aparecer. El pasado mes de noviembre contábamos en Escudo Digital como el troyano había ganado nuevas características. La nueva cepa incluía capacidades de ocultación y técnicas de evasión mucho más eficaces.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, contaba como existía un peligro real de que robara nombres de usuario y contraseñas para entrar en las instituciones financieras.
El experto aseguraba que los ciberdelincuentes que están detrás de Mekotio operan desde Brasil y colaboran con bandas europeas para distribuir el malware. Además, les gusta usar una infraestructura de entrega en varias etapas para evitar la detección, utilizando sobre todo emails de phishing como primer vector de infección y sirviéndose de entornos de nube de Microsoft y Amazon para alojar los archivos maliciosos.