Análisis de malware

El troyano bancario Mekotio regresa con un nuevo TTP

9 de febrero de por Pedro Tavares

Los troyanos bancarios latinoamericanos están aumentando y Mekotio es una de las amenazas más difíciles de detectar y detener en estos días.

Hoy en día es preocupante la cantidad de amenazas emergentes y la sofisticación y agilidad que se observa en las nuevas variantes de malware conocido, entre ellos Mekotio. El nuevo regreso trae consigo novedades y un cambio significativo en su cadena de infección. Esta nueva oleada se distribuyó unas semanas después de la detención de algunos delincuentes implicados con Mekotio en julio de por parte de la Guardia Civil española. Esta es una clara señal de que los delincuentes actuaron rápidamente para modificar las Tácticas, Técnicas y Procedimientos (TTP) del malware para evitar su detección y corrobora la fuerte colaboración entre los grupos españoles con los autores de malware geolocalizados en América Latina.

Al igual que otros troyanos bancarios brasileños populares, incluidos Maxtrilha , Javali y Ursa , Mekotio se actualizó en esta versión para combinar sus capacidades con esas amenazas, lo que denota una alta colaboración entre bandas criminales.

El modus operandi de Mekotio

La cadena de infección de Mekotio comienza con una plantilla de phishing que incita a la víctima a descargar un archivo zip de un servidor comprometido. La 1 a continuación muestra la plantilla de correo electrónico en idioma español.

1: Plantilla de correo electrónico de Mekotio distribuida en el tercer y cuarto trimestre de ( fuente ).

Después de descargar el archivo ZIP, se ejecuta un archivo por lotes indetectable con al menos dos capas de ofuscación. El proceso inicial es un algoritmo de sustitución de cifrado simple, que reemplaza todos los símbolos con una tabla de búsqueda disponible en el script.

2: Capa de ofuscación de la primera etapa de Metkio.

Cuando se completa el proceso, se ejecuta un comando de PowerShell conocido. Este comando IEX DownloadString se utiliza a menudo durante las evaluaciones de equipos rojos para ejecutar scripts sin archivos en la memoria sin tocar el disco.

3: Script de Powershell ejecutado por el troyano Mekotio.

A continuación se presenta el flujo de trabajo de alto nivel del troyano bancario Mekotio de Checkpoint que describe todas las etapas.

4: Diagrama de alto nivel del malware Mektio ( fuente ).

Como se observó anteriormente, el script de PowerShell descarga un nuevo archivo .ZIP que verifica si la víctima está ubicada geográficamente en Brasil, Chile, México, España y Perú y no se está ejecutando dentro de una máquina virtual. El archivo descargado se compone de tres archivos adicionales que incluyen:

Este flujo de trabajo es muy similar al de otros troyanos bancarios latinoamericanos, pero es una nueva actualización dentro de esta familia de troyanos. Luego, la DLL de Mekotio se ejecuta y se carga en la memoria, y se realizan algunas tareas, que incluyen:

Como se presenta a continuación, algunas de las ventanas superpuestas bancarias son similares a Ursa y Javali .

5: Ventanas superpuestas bancarias del troyano Javali ( fuente ) .

Finalmente, la conexión entre las máquinas infectadas y el servidor C2 se realiza mediante sockets HTTP sin procesar utilizando sus algoritmos criptográficos, el mismo modus operandi que también se observa en los troyanos bancarios más populares de América Latina.

Entendiendo a Mekotio

Mekotio es un troyano bancario desafiante que hay que detener y detectar. Con este conjunto de nuevas características, este malware obtuvo la capacidad de evadir la detección AV y EDR, aumentando el volumen de víctimas en todo el mundo. Aunque no existe una fórmula mágica para detener las infecciones de malware, podemos seguir una serie de puntos para mejorar la ciberseguridad, a saber:

Fuentes: