Troyano bancario ataca a Chile y otros países latinos en busca de criptomonedas

Según un reporte reciente de la compañía de ciberseguridad ESET, además de su función principal como “extractor” de datos bancarios, distintas variantes del Mekotio han ido evolucionando desde 2018 para adaptarse no solo al país al que van dirigidas, sino también a la nueva era de carteras digitales. De esta forma, es capaz de robar cualquier credencial (usuario y contraseña) que haya sido almacenada con anterioridad en el navegador —las cuales bien pueden incluir exchanges de criptomonedas— y, adicionalmente, tiene la capacidad de comportarse como un secuestrador de portapapeles. Esto implica que toma posesión del portapapeles del dispositivo y se mantiene inactivo hasta que detecta que el usuario copió una dirección de BTC, muy probablemente con la intención de enviar fondos a otra cartera. Es en ese momento cuando el Mekotio entra en acción dentro del portapapeles, reemplazando la dirección copiada por una perteneciente al hacker. Así, la víctima puede acabar pegando la nueva dirección sin fijarse, enviando sus criptomonedas al destino equivocado y dándose cuenta del error demasiado tarde. Gracias a esta táctica, en una dirección de Bitcoin perteneciente al hacker y recuperada por ESET se registró el paso, durante el período de octubre de 2018 a junio de 2020, de unos 0,27 BTC; equivalentes a alrededor de 2.500 USD al momento de la redacción. Sin embargo, la compañía indica al respecto:

“En el caso de la dirección analizada (…) puede observarse que recibió 6 transacciones por un total de 0,2678 BTC (…) Es importante tener en cuenta que este tiempo no contempla todo el período de actividad de Mekotio y, a su vez, las transferencias más recientes podrían deberse a infecciones antiguas que no fueron solucionadas. Considerando estos detalles y el hecho de que existen muchas otras direcciones vinculadas a esta amenaza, es posible que el total robado por los atacantes mediante esta funcionalidad supere considerablemente el valor previamente mencionado”.

Asimismo, ESET afirmó que el país más afectado por esta infección es Chile, con un 50% de prevalencia; seguido de Brasil, con un 32%, y Colombia, con un 12%. México, Perú, Argentina, Ecuador, Bolivia y España también han sido afectados, aunque en menor medida.

Las tácticas del Mekotio

Este malware llega a sus dispositivos víctimas por medio de correos electrónicos maliciosos, en campañas masivas de spam con la táctica del phishing. El phishing, básicamente, consiste en engañar a los destinatarios del correo para hacerles creer que el mensaje proviene de algún ente confiable, como un banco o un organismo gubernamental. En el ejemplo planteado por ESET, el correo se hacía pasar por un presunto comprobante de pago de parte de un servicio de impuestos. Una vez que la víctima, bajo engaño, abre el link proporcionado en el mensaje, el Mekotio se descarga e instala en su dispositivo de manera automática para empezar a actuar en seguida. El objetivo de estos correos suele reducirse a usuarios de banca electrónica, tanto individuales como empresariales, y el malware se adapta para imitar también las páginas de los bancos locales. Es por ello que debemos estar muy alertas a la hora de abrir cualquier el correo, en especial si incluye archivos adjuntos o links. Las instituciones oficiales jamás solicitarán datos personales ni credenciales por correo electrónico. La gran mayoría de los mensajes que hacen esto tienen intenciones maliciosas, por lo que lo mejor es eliminarlos y, en caso de duda, consultar por medios oficiales con la institución mencionada.