top of page
Malka Mekler

Mekotio: el persistente troyano bancario que aún amenaza en América Latina

En lo que va de 2023, ESET ha detectado más de 70 variantes de este troyano bancario.

Mekotio se caracteriza por ser un malware que tiene como objetivo robar información financiera, principalmente credenciales para acceder a cuentas bancarias o robar datos de tarjetas de crédito. Este fue detectado por primera vez en 2015 y para 2023 sigue siendo un importante amenaza en varios países de América Latina.


Mekotio forma parte de una familia de programas maliciosos que tiene la capacidad de realizar diversas acciones que se destacan por suplantar la identidad de bancos mediante ventanas emergentes falsas. Es de tal forma que realizan el robo de información sensible y exponen a la víctima.


En 2021, las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas con los troyanos bancarios Mekotio y Grandoreiro. Sin embargo, se considera que los desarrolladores de Mekotio trabajan con otros grupos cibercriminales, lo que explicaría que aún es un malware activo.



ESET indica que, en lo que va del año, se han detectado 70 variantes del troyano bancario. En el caso de América Latina el país que más muestra detecciones es Argentina, con un 52%, seguido de México (17%), Perú (12%), Chile (10%) y Brasil (3%).


Recientemente, ESET analizó una campaña que distribuye Mekotio por medio de correos electrónicos que utilizan como enganche la emisión de una supuesta factura y suplanta la identidad de una reconocida empresa multinacional de México. El cuerpo del correo contiene la instrucción de “abrir en una computadora con Windows”. Esto probablemente está relacionado a que el malware está orientado a este sistema operativo.


Además, el mensaje incluye un enlace que en caso de hacer click descarga un archivo comprimido (ID-FACT.1684803774.zip) que simula ser la supuesta factura. Sin embargo, al ser descomprimido se extrae un archivo de instalación de Windows (MSI).



Dicho archivo contiene diversos elementos, entre ellos, un archivo DLL que contiene una variante del malware Mekoti, que en este caso es detectada por las soluciones de seguridad de ESET como Win32/Spy.Mekotio.GO.


“Además de robar información financiera, Mekotio es un troyano que es capaz de realizar otras acciones maliciosas en el equipo comprometido. Por ejemplo, es capaz de recopilar información como el sistema operativo que corre en el equipo de la víctima, soluciones antifraude o antimalware instaladas. Asimismo, el malware intenta mantenerse oculto en el equipo infectado utilizando llaves de registro de arranque y ofrece a los atacantes capacidades típicas de backdoor”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.


ESET recalca la importancia de no hacer clic en enlaces o archivos adjuntos que llegan de manera inesperada. Asimismo, recomiendan instalar en el computador o smartphone un programa o aplicación de seguridad que ofrezca herramientas antispam que bloqueen y eliminen este tipo de correos.


Comments


bottom of page