El troyano bancario Mekotio ha vuelto a nuestro país con nuevas tácticas, técnicas y procedimientos para infectar los dispositivos de las víctimas, de esta manera, consigue el acceso a las cuentas de banca online.
Los ciberdelicuentes han reutilizado plantillas de correo para engañar a los usuarios con el asunto de la factura electrónica que está pendiente por pagar, sin embargo, no siempre emplean la misma cadena de infección.
Aquellos usuarios que reciben estos emails sienten la curiosidad por comprobar qué tipo de factura tienen pendiente de pago, pero desafortunadamente, si hacen clic en los enlaces, son redirigidos a la descarga de un fichero preparado por los estafadores.
ESET señala en su blog que los ciberdelincuentes usan "una ubicación perteneciente al servicio de alojamiento en la nube de Azure para alojar el archivo malicioso que se encarga de iniciar la cadena de infección. Esto resulta en una duración del enlace de descarga corto, puesto que los servicios detectan rápido este tipo de amenazas, aunque con que el enlace se mantenga activo solo unas horas ya es más que suficiente para que los delincuentes obtengan su objetivo".
Dentro del fichero comprimido en ZIP descargado, se observan otros dos ficheros, incluyendo un ejecutable con un nombre atractivo para engañar al usuario a que lo descargue y ejecute.
Este fichero ejecutable contiene una versión del downloader de NSIS (Nullsoft Scriptable Install System), además, se pone en contacto con un servidor controlado por los ciberdelincuentes para descargar y ejecutar el payload.
Este parte es novedosa en lo que respecta a las cadenas de infección protagonizadas por el troyano bancario Mekotio, ya que, habitualmente, los estafadores delegaban esta primera parte de la infección en un archivo MSI.
El payload incluye tres archivos:
- El intérprete del lenguaje de programación AutoHotKey.
- El script de AutoHotKey encargado de cargar el troyano bancario.
- El troyano bancario Mekotio.
Una vez ejecutado el script, se configura el loader de 'AutoHotKey' en la cadena 'Run' del registro de Windows e identifica a la víctima, recopilando información básica del sistema (nombre de usuario, nombre del ordenador, versión del sistema operativo y antivirus instalado) y enviándola al centro de mando y control configurado por los ciberdelincuentes.
Este tipo de troyanos están especializados en el robo de credenciales de banca online, por lo que pueden causar un grave perjuicio económico a empresas y particulares.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios