Un troyano bancario que roba criptomonedas se dirige a usuarios latinoamericanos
Los expertos en seguridad cibernética advierten sobre una familia de troyanos bancarios que tienen como objetivo a usuarios de Windows en América Latina, pero este troyano se enfoca en robar criptomonedas.
Según un informe publicado por la empresa de seguridad cibernética ESET, el malware se conoce como “Mekotio” y ha estado activo desde aproximadamente marzo de 2018. Desde entonces, los creadores de la amenaza han estado mejorando continuamente las capacidades y el alcance del ataque, principalmente conocido por atacar a más de 51 bancos.
Pero ahora el troyano se está centrando en Bitcoin (BTC), en lugar de solo robar detalles bancarios. Esto implica que Mekotio está dirigido a usuarios individuales.
España también está en el radar de Mekotio
Las campañas maliciosas fueron entregadas a través de correos electrónicos de phishing por los hackers, y están dirigidas principalmente a Chile y otros países de esa región. Aun así, se han reportado algunos casos en España.
La investigación especifica que se incluye un enlace dentro del cuerpo del correo electrónico, donde los usuarios hacen clic en él y descargan un archivo .zip. Una vez que el usuario descomprime el archivo, aparece un instalador .msi. Si el usuario lo instala, el ataque de Mekotio es exitoso.
Daniel Kundro, un experto en ciberseguridad de ESET, explicó que Mekotio reemplaza las direcciones de billetera BTC copiadas en el portapapeles. Si la víctima quiere hacer una transferencia cripto copiando y pegando una dirección de billetera en lugar de escribirla manualmente, el exploit reemplaza la dirección de billetera de la víctima con la del criminal.
Direcciones de billetera de BTC de varios cibercriminales están involucradas en el ataque
Kundro advierte que los ciberdelincuentes detrás de Mekotio no usan una sola dirección de billetera para recibir su BTC robado. A menudo usan varias billeteras BTC para evitar el rastreo fácil de transacciones.
Pero el troyano no se limita a solo robar criptomonedas y detalles bancarios, sino que también implementa un ataque para robar contraseñas almacenadas en navegadores web.
Según un estudio reciente realizado por Group-IB, un ransomware conocido como ProLock se basa en el troyano bancario Qakbot para lanzar el ataque y pide a las víctimas rescates de seis cifras en dólares pagados en BTC para descifrar los archivos.
Los expertos forenses en criptomonedas de Xrplorer también advirtieron el 15 de junio sobre una elaborada estafa de phishing donde los hackers intentan robar las claves secretas de los usuarios de XRP, bajo la falsa premisa de que Ripple está regalando tokens.
Sigue leyendo: