Mekotio: un conocido troyano bancario que sigue activo en América Latina

Mekotio es un malware que tiene como objetivo robar información
financiera, principalmente credenciales para acceder a cuentas bancarias o robar datos de tarjetas de
crédito. Se detectó por primera vez en 2015 y en 2023 continua con una importante actividad en varios
países de América Latina. A continuación, ESET, compañía líder en detección proactiva de amenazas,
analiza una campaña reciente que intentaba infectar a las víctimas con este malware.
Mekotio integra la lista de troyanos bancarios de América Latina, una familia de programas maliciosos
que tienen la capacidad de realizar distintas acciones que se destacan por suplantar la identidad de
bancos mediante ventanas emergentes falsas. De esta manera, realizan el robo de información sensible
de las víctimas. En 2021 las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas a los
troyanos bancarios Mekotio y Grandoreiro, se cree que los desarrolladores de Mekotio colaboraban con
otros grupos de cibercriminales, lo que explica que siga tan activo este malware.
En lo que va de 2023 se detectaron más de 70 variantes de este troyano bancario. En América Latina, las
detecciones de los sistemas de ESET muestran que Argentina (52%) es el país con más actividad de este
Mekotio, seguido por México (17%), Perú (12%), Chile (10%) y Brasil (3%).
Recientemente, ESET analizó una campaña que distribuye Mekotio a través de correos electrónicos
(malspam) que utilizan como señuelo la emisión de una supuesta factura y suplantan la identidad de una
reconocida empresa multinacional de México. El cuerpo del correo contiene la instrucción de “abrir en
una computadora con Windows”. Esto probablemente está relacionado a que el malware está orientado
a este sistema operativo.
El mensaje incluye un enlace que en caso de hacer clic descarga un archivo comprimido (ID-
FACT.1684803774.zip) que simula ser la supuesta factura, pero al ser descomprimido se extrae un
archivo de instalación de Windows (MSI). Este archivo contiene varios elementos. Entre ellos, un archivo
DLL que contiene una variante del malware Mekoti, que en este caso es detectada por las soluciones de
seguridad de ESET como Win32/Spy.Mekotio.GO.
“Además de robar información financiera, Mekotio es un troyano que es capaz de realizar otras acciones
maliciosas en el equipo comprometido. Por ejemplo, es capaz de recopilar información como el sistema
operativo que corre en el equipo de la víctima, soluciones antifraude o antimalware instaladas.

ESET -Nota de Prensa

Asimismo, el malware intenta mantenerse oculto en el equipo infectado utilizando llaves de registro de
arranque y ofrece a los atacantes capacidades típicas de backdoor”, comenta Camilo Gutiérrez Amaya,
jefe del Laboratorio de Investigación de ESET Latinoamérica.
Dentro de las recomendaciones de ESET para evitar ser víctimas de estos ataques, la primera es no hacer
clic en enlaces o archivos adjuntos que llegan de manera inesperada. Por otra parte, contar en la
computadora o smartphone con un programa o aplicación de seguridad que ofrezca herramientas
antispam que bloqueen y eliminen estos correos de malspam y en todo caso que detecten el programa
malicioso y eviten su instalación.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/la-es/2023/06/02/mekotio-conocido-troyano-bancario-sigue-activo-
america-latina/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *