Este es uno de los virus troyanos bancarios de América Latina más conocidos. Mekotio, un troyano bancario que está presente inicialmente en países como Brasil, Chile, México, España, Perú y Portugal. Su característica más resaltable en las variantes más modernas, es el empleo de una base de datos SQL, consiguiendo por medio de este su objetivo.
El virus Mekotio, cuenta con una fuerte presencia en países de habla hispana, es válido resaltar que cuenta con una variante en particular desarrollada inicialmente para usuarios de Chile. No obstante, el objetivo de este blog es exponer a grandes rasgos este virus troyano y realizar un análisis del comportamiento de un conjunto de variantes de Mekotio.
Principales características del virus Mekotio
Mekotio es un troyano bancario latinoamericano del cual se tiene registro desde el año 2015 y en estos últimos años ha tomado más fuerza. De forma general, suele activarse de forma poco agresiva, inicia usando ventanas emergentes falsas en el dispositivo de la víctima. Todo esto, con el objetivo de convencerla para que divulgue información confidencial.
Es muy común que estas ventanas emergentes, dichas ventanas están diseñadas cuidadosamente con el fin de suplantar la identidad de distintos bancos o entidades financieras.
Mekotio suele funcionar directamente con la extracción de los siguientes datos en un sistema…
- Consigue acceder a la configuración del firewall del dispositivo.
- Versión actual del sistema operativo con el que cuenta el dispositivo.
- Asimismo, consigue identificar, si están instaladas aplicaciones de protección antifraude. Suele identificar más rápido las aplicaciones, GAS Tecnologia Warsaw e IBM Trusteer .
- Extrae un listado de soluciones antimalware instaladas previamente en el equipo.
Mekotio se manifiesta de forma recurrente en el equipo donde haya podido acceder. Mediante el empleo de una llave o también, creando un archivo LNK en la sección de inicio.
Es habitual que en la mayoría de los troyanos bancarios presentes en Latinoamérica, Mekotio cuenta con una variada forma de accionar, típicas de un backdoor. Podrá realizar capturas de pantalla, manejar ventanas, simular funciones únicas del mouse y del teclado, incluso puede reiniciar el equipo, y restringir el acceso a sitios web bancarios o financieros y actualizarse.
Se ha conocido, también, que algunas variantes del Mekotio también, pueden robar bitcoins reemplazando una billetera bitcoin en el portapapeles. Incluso extraer algunas credenciales guardadas por el navegador Google Chrome.
¿Cómo consigue distribuirse Mekotio?
Se cree que el principal método de distribución de este virus troyano es el spam. Aproximadamente desde el 2018, se ha observado cerca de 40 cadenas de distribución diferentes empleados por esta familia de malware. Por lo general, estas cadenas cuentan con varias etapas, finalizando con la descarga de un archivo ZIP, lo cual es muy común en los troyanos bancarios en Latinoamérica. Conoce, a continuación, las dos cadenas más usadas por Mekotio.
-
Cadena 1
Esta primera cadena consta de cuatro etapas secuenciales, en la primera y segunda etapa, se encarga de la creación de un URL de descarga y almacenamiento. Se hace uso de un downloader desde donde se almacena la siguiente etapa (otro downloader), desde la URL suministrada mientras hace uso de un valor de User-Agent que es personalizado.
En la tercera etapa, se descarga un script de PowerShell, editando la URL desde la cual se descargó Mekotio dentro del cuerpo del script, antes de ser ejecutado. Posteriormente, el script de PowerShell descarga Mekotio desde la URL editada, instalando y ejecutando este malware en el dispositivo que lo almacena.
-
Cadena 2
Como es habitual con muchos otros virus troyanos bancarios latinoamericanos, Mekotio hace uso de MSI en la mayoría de sus últimas cadenas de distribución. Para este caso, la cadena suele ser mucho más corta y menos extensa, partiendo de que sólo un único JavaScript, sirve para la etapa final, integrándose en el MSI y ejecutándose.
Al realizar una comparación con la etapa final de PowerShell de la cadena expuesta anteriormente, existen algunas similitudes detectables. Inicialmente, es la ruta de instalación, después de descargar y extraer el archivo ZIP, cambiando el nombre de los contenidos del archivo ZIP extraído, teniendo en cuenta el tamaño.
Te podría interesar: ¿Qué es la estafa nigeriana y cómo evitarla?
Conclusión
Siempre es recomendable, verificar y leer todo a lo que se le da acceso desde un ordenador. En ocasiones la mejor forma de evitar el acceso de este tipo de virus es verificando el acceso otorgado a ciertos archivos o URLs.
En Ticnow, contamos con los profesionales idóneos, para garantizar la protección de los datos personales y bancarios de cualquier usuario. Consigue cuidar los datos de tus clientes con los mejores en el campo de la seguridad bancaria, contáctanos y disfruta de los servicios que podemos ofrecer.
