“COMUNICACIÓN URGENTE COVID-19”: EL TROYANO BANCARIO MEKOTIO ACTUALIZA SU PLANTILLA DE CORREO
Tras varias semanas usando las mismas plantillas, suplantando a empresas como Correos, la Dirección General de Tráfico, usando supuestos envíos de burofax, comprobantes de transferencias bancarias o incluso historiales de WhatsApp, durante esta pasada madrugada hemos observado como los delincuentes detrás de las campañas del troyano bancario Mekotio han empezado a utilizar una nueva plantilla.
Comunicación urgente relacionada con la COVID-19
La complicada situación sanitaria provocada por la COVID-19 en la que nos encontramos ha sido utilizada por los delincuentes como gancho desde el inicio de la pandemia. Por eso no nos extraña que se vuelva a utilizar en esta ocasión, aunque localizada específicamente en España y aprovechando la situación de bloqueo perimetral en la que se encuentran numerosas ciudades y regiones de nuestro país.
En el correo recibido por varios usuarios durante la pasada madrugada vemos como se nos informa de una supuesta comunicación urgente relacionada con el bloqueo perimetral de ciudades provocado por la pandemia, todo ello remitido supuestamente desde el Ministerio de Sanidad y con mención incluida a la web de La Moncloa para hacerlo más creíble. En realidad, estos mensajes se envían realmente desde un servidor virtual privado ubicado en Rusia y que los delincuentes vienen utilizando desde hace meses.
Debido a que, durante estos días se ha estado actualizando el estado de apertura de varias ciudades y regiones de cara al próximo puente de la Constitución y a las cercanas fechas navideñas, esta temática puede resultar muy convincente para muchos de los usuarios que reciban este correo y, seguidamente, procedan a pulsar sobre el enlace proporcionado para descargar unas supuestas hojas de cálculo con esta información.
La realidad es bien distinta ya que, si quien recibe este mensaje pulsa sobre el enlace será redirigido a la descarga de un archivo comprimido alojado en Azure, la nube de Microsoft. Los delincuentes detrás de estas campañas llevan tiempo usando este servicio para alojar sus amenazas, sabedores de que es difícil que alguna empresa bloquee el acceso debido al importante uso que se realiza en entornos corporativos y que muchos usuarios domésticos no ven nada sospechoso en estas URL.
Sin embargo, esto no significa que estemos indefensos ya que soluciones de seguridad como las de ESET son perfectamente capaces de detectar estas amenazas antes incluso de que se descarguen en el sistema, por mucho que se encuentren alojadas en webs o servicios legítimos.
Conclusión
La utilización de una nueva plantilla demuestra que los delincuentes detrás de estas campañas están al día de la actualidad en aquellos países que tienen como objetivos.
Recordemos que Mekotio se ha estado expandiendo a otros países recientemente por lo que es posible que veamos campañas similares dentro de poco pero personalizadas para cada región.
Independientemente de donde nos encontremos, debemos aprender a estar atentos ante este tipo de correos, evitando pulsar sobre enlaces o abrir archivos no solicitados. Además, contar con una solución de seguridad como las de ESET nos puede ayudar a evitar una infección de este tipo, por lo que es recomendable disponer de una y configurarla adecuadamente.
