Un nuevo análisis ha arrojado luz sobre la amenaza que representa el troyano bancario Mekotio, un sofisticado malware que se dirige principalmente a países latinoamericanos desde al menos 2015. Diseñado para robar información confidencial, en particular credenciales bancarias, Mekotio ha sido especialmente activo en Brasil, Chile, México, España y Perú. Este malware comparte sus orígenes con otras cepas de malware bancario latinoamericano notables como Grandoreiro, que fue desmantelado por las fuerzas del orden a principios de este año. Mekotio generalmente se propaga a través de correos electrónicos de phishing que emplean tácticas de ingeniería social para engañar a los usuarios para que interactúen con enlaces o archivos adjuntos maliciosos. Según un aviso publicado por Trend Micro, el troyano se ha visto a menudo haciéndose pasar por comunicaciones de agencias tributarias, lo que sugiere que los destinatarios tienen obligaciones impagas. Estos correos electrónicos de phishing contienen un archivo adjunto ZIP o un enlace a un sitio dañino. Tras la interacción del usuario, el malware se descarga y se ejecuta en su sistema. En un caso típico, el archivo adjunto es un archivo PDF con un enlace malicioso incrustado. Una vez activado, Mekotio recopila información del sistema y establece una conexión con un servidor de comando y control (C2), que dirige las acciones del malware. El objetivo principal de Mekotio es robar credenciales bancarias. Lo logra mostrando ventanas emergentes falsas que imitan sitios bancarios legítimos, engañando a los usuarios para que ingresen sus datos, que luego son recopilados. Además del robo de credenciales, Mekotio puede capturar capturas de pantalla, registrar pulsaciones de teclas y robar datos del portapapeles. Para lograr la persistencia, el troyano utiliza tácticas como agregarse a sí mismo a programas de inicio o crear tareas programadas. La información robada se envía de vuelta al servidor C2, lo que permite a los actores maliciosos usarla para actividades fraudulentas, como el acceso no autorizado a cuentas bancarias. Lea más sobre ataques de phishing: Informe revela un aumento del 341% en los ataques de phishing avanzados Recomendaciones de mitigación de Trend Micro Trend Micro advirtió que mitigar los riesgos asociados con Mekotio requiere adherirse a las mejores prácticas de seguridad adecuadas, particularmente aquellas enfocadas en amenazas transmitidas por correo electrónico. Los usuarios deben tener cuidado con los correos electrónicos no solicitados, verificar la dirección del remitente y comprobar que no haya errores ortográficos ni gramaticales en los mensajes. Deben evitar hacer clic en enlaces y descargar archivos adjuntos a menos que estén absolutamente seguros de su legitimidad. Pasar el cursor sobre los enlaces para comprobar las URL y ponerse en contacto directamente con los remitentes utilizando los datos de contacto conocidos también puede prevenir los intentos de phishing. Además, emplear filtros de correo electrónico y software antispam e informar de los correos electrónicos sospechosos a los equipos de TI y seguridad son estrategias eficaces. También se recomienda que los empleados reciban formación periódica sobre phishing para reforzar las defensas contra este tipo de tácticas de ingeniería social. «El troyano bancario Mekotio es una amenaza persistente y en evolución para los sistemas financieros, especialmente en los países de América Latina», se lee en el aviso. «Si se siguen las prácticas de seguridad recomendadas, es posible que se deba seguir la estrategia de phishing». […] “Las personas y las organizaciones pueden reducir significativamente el riesgo de ser víctimas de este peligroso malware”.