Aunque en junio del año pasado la Guardia Civil llevó a cabo una operación que parecía haber neutralizado al troyano bancario Mekotio, el malware no tardó en reaparecer con nuevas capacidades y técnicas de evasión y a día de hoy sigue haciendo de las suyas.
Así lo ha advertido ESET, que califica esta amenaza de origen brasileño como una de las más persistentes y ha analizado la nueva campaña que está protagonizando teniendo como objetivo a usuarios españoles.
Reutiliza una supuesta factura electrónica, pero cambia su cadena de infección
Según señala el director de investigación y concienciación de ESET España, Josep Albors, los ciberdelicuentes suelen reutilizar tácticas, técnicas y procedimientos cuando observan que les funcionan razonablemente bien y la nueva campaña de Mekotio es otro ejemplo de ello. Al igual que el pasado mes de mayo, el correo hace alusión a una supuesta factura electrónica que estaría pendiente de pago pero en lugar de incluir enlaces para la descarga del malware como hacía antes, en esta ocasión adjunta un archivo PDF.
Tal y como indica Albors, este PDF invita al usuario a consultar las supuestas facturas pendientes (sin precisar a qué servicio corresponde) pulsando sobre la opción "Generar factura". En caso de hacerlo, el usuario será redirigido a una IP controlada por los atacantes que, a su vez, le volverá a redirigir a la descarga de un fichero alojado en Azure.
"La cadena de infección habitual del troyano Mekotio incluía directamente el enlace de descarga del malware, por lo que la inclusión de un paso adicional en forma de un enlace dentro de un fichero PDF puede que represente un intento más de tratar de esquivar las medidas de seguridad implementadas en muchos servidores de correo. Dentro del fichero ZIP descargado observamos que se encuentra el clásico fichero MSI que tantas veces han utilizado los delincuentes como malware de primera fase", explica.
En cuanto a la cadena de infección, Albors aclara que a partir de este momento no se encuentran muchas diferencias con respecto a campañas anteriores, "con la ejecución de un script realizado en el lenguaje de programación AutoHotkey que termina ejecutando el payload perteneciente al troyano Mekotio".
Con respecto a la finalidad principal de este troyano, Albors alerta que tanto Mekotio como otros malware similares procedentes de la misma región persiguen obtener las credenciales de acceso a la banca online de los usuarios a los que infectan. "Una vez obtenidas, utilizarán a muleros para que realicen retiradas de dinero desde las cuentas de las víctimas y se las transfieran a las cuentas que los delincuentes controlan en sus respectivos países", agrega.
En su conclusión, el director de investigación y concienciación de ESET España apunta que pese a que estas campañas llevan circulando más de dos años, los atacantes detrás de estas familias de troyano siguen teniendo entre sus principales objetivos a usuarios españoles. "Por ese motivo es importante desconfiar de correos no solicitados y contar con soluciones de seguridad que permitan la detección y eliminación de estas amenazas antes de que sea demasiado tarde", remata Albors en su publicación.