Chile y Brasil entre los principales países donde el malware Mekotio roba criptomonedas y credenciales bancarias

El equipo técnico de la compañía de ciberseguridad ESET ha entregado el día de hoy un reporte completo sobre el troyano bancario Mekotio, el cual tiene alta incidencia en latinoamérica.

Según la empresa especializada en soluciones informáticas para la seguridad de dispositivos, Mekotio ha estado presente mayoritariamente en Chile y Brasil, con menor incidencia en países como México, Perú, Colombia, Argentina, Ecuador y Bolivia.

Para ESET, la amenaza ha estado presente desde el 2018 con el único fin de robar dinero a sus víctimas mediante la infección de equipos informáticos, el cual comenzó con fuerte foco en Brasil y ahora se ha extendido a Chile, que reportan entre ambos más del 82 por ciento de las detecciones.

Mekotio ha estado evolucionando desde su primera detección en la forma que actúa, pero las variantes tienen la capacidad aún de infectar equipos para robar credenciales bancarias y criptomonedas en los equipos comprometidos.

Conocido como la variante CY de Mekotio, ESET señala en su informe que el troyano bajo la especificación Win32/Spy.Mekotio.CY, es la que más casos de uso ha tenido principalmente en Chile, la cual tiene como objetivo robar credenciales de acceso a los portales de banca electrónica de los 24 bancos con mayor presencia en el país, seguido de Brasil, “apuntando a 27 instituciones bancarias”.

Su funcionamiento aplica una combinación de ingeniería social en la cual la víctima recibe un correo simulando un organismo oficial con un archivo adjunto comprimido que se autoejecute una vez que la víctima accede a él.

Una vez infectado el equipo, el troyano tiene la capacidad de robar las credenciales del usuario del equipo y redireccionarlas a un servidor remoto con el nombre del sitio web, nombre de usuario y contraseña para poder acceder a los fondos.

Tal como lo menciona ESET, este troyano está dirigido específicamente a usuarios de banca electrónica de un conjunto reducido de países, pero sin embargo, su uso puede ser ampliado a otras regiones y otros usos como cuentas empresariales.

El troyano permite robar las credenciales de acceso almacenadas en el sistema por algunos navegadores web como Google Chrome y Opera, mediante el formulario log-in.

Mekotio permite robo de saldo en monederos Bitcoin

La compañía señala en su reporte que la peligrosidad de la amenaza informática tiene alcance para robar el saldo de monederos Bitcoin y otras criptomonedas en general.

De acuerdo a ESET, el troyano tiene la capacidad de reemplazar las direcciones de monederos Bitcoin copiadas al portapapeles por la la dirección del monedero del atacante.

”De esta manera, si un usuario infectado quiere hacer una transferencia o un depósito a una dirección determinada y utiliza el comando copiar (clic derecho-copiar/ctrl+c) en lugar de escribirla manualmente, al querer pegar (clic derecho-pegar/ctrl+v) no se pegará la dirección a la que pretendía hacerse la transferencia, sino la dirección del atacante” se puede leer en el reporte.

Además agrega que el usuario si no logra percatarse de esta diferencia y continúa con la operación, acabará enviando dinero al atacante.

                                                      Fuente: Welivesecurity.com

Como medida para evitar su detección y rastreo de los fondos robados, los atacantes usan distintas direcciones receptoras del dinero, las cuales son actualizadas con nuevas versiones para dificultar su rastro.

Para la compañía, los ejemplos mostrados en el caso de fondos robados de BTC por aproximadamente USD 2,500 no representan una cifra cercana a la realidad, ya que no contempla todo el período de actividad de Mekotio, por lo que el valor podría ser considerablemente alto.

Prácticas seguras la mejor arma contra Mekotio

La compañía recomienda unas prácticas seguras muy sencillas para evitar ser víctimas de este tipo de ataques. En especial con el caso relacionado con criptomonedas, es importante siempre verificar que nuestra dirección destino a enviar fondos en una transacción sea la correcta y no confiarnos de un simple ‘copia y pegar’.

Además, para evitar contagios es importante no abrir enlaces contenidos en correos no deseados, no descargar archivos adjuntos en este tipo de correos electrónicos y en caso de hacerlo, no abrirlo una vez comience a descargarse automáticamente.

Por supuesto, siempre es importante contar con un producto de seguridad actualizado, mantener al día el software del equipo desde dónde se opera y comprobar la descarga de archivos ejecutables de productos de terceros y tiendas no oficiales.

Sigue leyendo: