Reaparece el troyano bancario Mekotio con nuevas técnicas de ataque y ocultación
05/11/2021
Los delincuentes tras el troyano bancario Mekotio han vuelto con un cambio en su modo de infección para así permanecer fuera del radar y evadir los softwares de seguridad, habiendo realizado casi 100 ataques en los últimos tres meses.
Según hemos podido saber, la última ola de ataques de este troyano apunta principalmente a víctimas ubicadas en España, Brasil, Chile, México y Perú.
Estos cambios en el troyano Mekotio se han producido después de que las fuerzas del orden españolas arrestaran en julio de 2021 a 16 personas pertenecientes a una red criminal en relación con Mekotio y otro malware bancario llamado Grandoreiro, por una campaña de ingeniería social dirigida a instituciones financieras en Europa.
Esta nueva versión evolucionada del malware Mekotio está diseñada para comprometer los sistemas Windows con una cadena de ataque que comienza con correos electrónicos de phishing disfrazados de recibos de impuestos pendientes, que contienen un enlace a un archivo ZIP o incluyen un adjunto de un archivo ZIP.
Al hacer clic para abrir el archivo ZIP, se activa la ejecución de un script por lotes que, a su vez, ejecuta un script de PowerShell para descargar un segundo archivo ZIP.
Este segundo archivo ZIP alberga en su interior tres archivos diferentes: un intérprete de AutoHotkey (AHK), un script AHK y la carga útil DLL de Mekotio. El script de PowerShell antes mencionado llama al intérprete AHK para ejecutar el script AHK, que ejecuta la carga útil DLL para robar las contraseñas de portales bancarios online y extraer y enviar los resultados a un Servidor remoto.
Los módulos maliciosos se caracterizan por el uso de técnicas simples de ofuscación como cifrados de sustitución, que brindan al malware capacidades de ocultación mejoradas que hacen que la mayoría de las soluciones antivirus no lo detecten.
Por lo tanto, existe un peligro muy real de que el troyano bancario Mekotio robe nombres de usuario y contraseñas de acceso a los Bancos online.
Por esta razón, recomendamos encarecidamente a los usuarios que utilicen siempre la autentificación de doble factor para proteger sus cuentas bancarias de los ataques y estén también muy atentos a los nombres de dominios parecidos pero no exactos, los errores ortográficos en los correos electrónicos o sitios web y los mensajes de correo electrónico de remitentes desconocidos que puedan recibir.
También sería tremendamente interesante procurar proteger los equipos informáticos con las siguientes soluciones:
- Antivirus: disponemos del mejor antivirus del mercado europeo actual cuyo fabricante actualiza constantemente para proteger a nuestros clientes de todo tipo de virus, malware, troyanos y software espía.
- Firewall: es muy recomendable contar con un sistema cuya función es prevenir y proteger nuestra red privada de intrusiones o ataques bloqueándoles el acceso.
- Copias de seguridad: resulta imprescindible disponer de un completo, seguro y eficiente backup en la nube que se compruebe periódicamente para verificar que las copias se están haciendo correctamente y que sabremos cómo restaurar la información en caso de necesidad.
En RecuperaData, además de nuestro completo servicio profesional de recuperación de datos de todo tipo de soportes informáticos, podemos facilitar todo lo anterior a aquellos clientes que lo necesiten ☺️.
Os recordamos que ante una pérdida de datos de cualquier tipo de dispositivo informático (disco duro, RAID, NAS, disco SSD, tarjeta de memoria, pendrive, SSD M.2, smartphone, etc.) y provocada por cualquier motivo, siempre podéis poneros en contacto con nosotros con total tranquilidad y sin compromiso:
- Telefónicamente en el 944 467 254 de lunes a viernes en horario de 9 a 17h.
- Rellenando cualquiera de los formularios de contacto de esta web.
- Os aconsejaremos sobre cómo proceder y os informaremos de la mejor opción para vuestro caso.
#ciberseguridad #recuperardatos #recuperacióndedatos #RecuperaData
Ver otras Noticias de Ciberseguridad
