{"id":937,"date":"2020-09-01T13:18:34","date_gmt":"2020-09-01T11:18:34","guid":{"rendered":"https:\/\/www.semsin.es\/web\/?p=937"},"modified":"2020-09-01T13:22:54","modified_gmt":"2020-09-01T11:22:54","slug":"bloqueo-judicial-la-campana-con-la-que-el-troyano-bancario-mekotio-empieza-la-semana","status":"publish","type":"post","link":"https:\/\/www.semsin.es\/web\/bloqueo-judicial-la-campana-con-la-que-el-troyano-bancario-mekotio-empieza-la-semana\/","title":{"rendered":"\u201cBLOQUEO JUDICIAL\u201d: LA CAMPA\u00d1A CON LA QUE EL TROYANO BANCARIO MEKOT\u00cdO EMPIEZA LA SEMANA"},"content":{"rendered":"
\n

Durante las \u00faltimas semanas hemos observado como las campa\u00f1as relacionadas con troyanos bancarios brasile\u00f1os que buscan v\u00edctimas entre usuarios espa\u00f1oles no han hecho sino incrementarse. Estas campa\u00f1as han estado protagonizadas\u00a0casi en exclusiva<\/a>\u00a0por dos familias de malware con relaci\u00f3n entre s\u00ed, como son Grandoreiro y Mekotio, aprovechando diferentes plantillas que suplantan a empresas y organismos oficiales espa\u00f1oles. Con el comienzo de una nueva semana vemos como los delincuentes tambi\u00e9n vuelven a relanzar sus campa\u00f1as.<\/p>\n

Bloqueo Judicial<\/strong><\/p>\n

De todas las plantillas que han utilizado estas familias de troyanos durante los meses que les venimos siguiendo la pista, las que aparentemente han resultado m\u00e1s efectivas para los delincuentes han sido aquellas que suplantaban alg\u00fan organismo oficial. Esto lo podemos ver si revisamos los correos asociados con estas campa\u00f1as de las \u00faltimas semanas, donde se ha utilizado el nombre tanto de la\u00a0Agencia Tributaria<\/a>\u00a0como el del Ministerio de Trabajo y Econom\u00eda Social como gancho para atraer a los usuarios y que estos pulsen los enlaces preparados por los delincuentes.<\/p>\n

Durante la madrugada de hoy, lunes 31 de agosto, hemos visto como se han vuelto a enviar nuevos mensajes con la plantilla que suplanta la identidad de la Agencia Tributaria y el asunto \u201cBLOQUEO JUDICIAL \u2013 Pendiente financiera \u2013 [ id xxxxxxxx\u00a0 ]\u201d. Este escueto mensaje informa al receptor que tiene pendiente de presentar un documento y adjunta un enlace a un fichero .zip con supuestos documentos relacionados con un \u201ccomprobante fiscal digital\u201d.<\/p>\n

<\/p>\n

Este tipo de campa\u00f1as crean incertidumbre en el receptor, ya que la cantidad reclamada es elevada, el remitente parece leg\u00edtimo al utilizar el correo \u201cimpuestos[@]hacienda.gob.es\u201d y adem\u00e1s la fecha en la que se tuvo que presentar el supuesto documento solicitado hace tiempo que expir\u00f3. Sin embargo, al recibir este tipo de mensajes los usuarios no deben alarmarse, sino comprobar varios puntos clave.<\/p>\n

El primero de ellos suele ser la cabecera del email, ya que raramente coincidir\u00e1 la direcci\u00f3n de env\u00edo real del mensaje con la que aparece como remitente. En este caso, por ejemplo, si comparamos el remitente del mensaje con los campos del Message ID y el Return Path, veremos como no coinciden para nada y las direcciones de correo y dominios que aparecen pertenecen a Rusia.<\/p>\n

Adem\u00e1s de la pobre redacci\u00f3n del mensaje, incluso con la aparici\u00f3n de caracteres no habituales cuando se detecta un car\u00e1cter propio de la codificaci\u00f3n del teclado en espa\u00f1ol como son las tildes y la falta de logotipos oficiales (aunque haya campa\u00f1as maliciosas que s\u00ed los incluyan), hemos de tener en cuenta a d\u00f3nde apunta el enlace proporcionado sin llegar a pulsar sobre el mismo.<\/p>\n

En este caso, ese enlace apunta a un dominio ubicado en el servicio en la nube de Azure (propiedad de Microsoft), tal y como viene siendo caracter\u00edstico de las campa\u00f1as del troyano bancario Mekotio desde hace unas semanas.<\/p>\n

Descarga y ejecuci\u00f3n del malware<\/strong><\/p>\n

Cuando el usuario pulsa sobre el enlace proporcionado en el email se le redirige a otro enlace controlado por los delincuentes y alojado igualmente en un dominio de Azure. Es en ese dominio donde est\u00e1 alojado el fichero que compone la primera fase del ataque y que se compone de un archivo ZIP de nombre \u201cCOMPROBANTE_530100_MJM.zip\u201d que a su vez contiene otros dos archivos, un MSI y un GIF.<\/p>\n

Si bien el fichero \u201c530100_MJM.msi\u201d es el ejecutable malicioso principal encargado de descargar y ejecutar el payload del troyano bancario Mekotio en el sistema, el fichero GIF esconde tambi\u00e9n informaci\u00f3n que es utilizada por los atacantes de alguna forma en esta cadena de infecci\u00f3n.<\/p>\n

Como ya vimos en campa\u00f1as similares analizadas hace unos d\u00edas, los desarrolladores detr\u00e1s de Mekotio identifican la versi\u00f3n del sistema operativo y, dependiendo de si es de 32 o 64 bits, descargan de forma transparente para el usuario el archivo correspondiente.<\/p>\n

\"\"<\/figure>\n

Este archivo ZIP descargado contiene, por un lado, el payload de Mekotio, mientras que los otros dos archivos pertenecen al int\u00e9rprete del lenguaje de programaci\u00f3n AutoHotkey y al script preparado por los delincuentes para la ejecuci\u00f3n de su c\u00f3digo malicioso en el sistema. El abuso de AutoHotkey es algo que los delincuentes encargados de desarrollar las versiones de Mekotio vienen implementando tambi\u00e9n desde hace unas semanas.<\/p>\n

Este payload de Mekotio es detectado por las soluciones de seguridad de ESET como el troyano Win32\/AHK.CU.<\/p>\n

Conclusi\u00f3n<\/strong><\/p>\n

La reutilizaci\u00f3n de este tipo de plantillas para propagar nuevas variantes del troyano bancario Mekotio puede ser un indicativo de que las campa\u00f1as observadas durante las semanas anteriores han podido tener el suficiente \u00e9xito como para seguir reutiliz\u00e1ndolas. Es importante que estemos alerta ante este tipo de correos, aprendamos a identificarlos y, ante la duda, evitamos pulsar sobre los enlaces proporcionados o descargar ficheros adjuntos, acudiendo siempre a la web oficial del organismo oficial para tratar de resolverla, sin olvidarnos de que debemos contar con un antivirus actualizado que sea capaz de detectar y eliminar estas amenazas.<\/p>\n

Fuente: https:\/\/blogs.protegerse.com<\/a>\/<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Durante las \u00faltimas semanas hemos observado como las campa\u00f1as relacionadas con troyanos bancarios brasile\u00f1os que buscan v\u00edctimas entre usuarios espa\u00f1oles no han hecho sino incrementarse….<\/p>\n

Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":940,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[44,43,1],"tags":[104,46,105],"_links":{"self":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/937"}],"collection":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/comments?post=937"}],"version-history":[{"count":4,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/937\/revisions"}],"predecessor-version":[{"id":942,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/937\/revisions\/942"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media\/940"}],"wp:attachment":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media?parent=937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/categories?post=937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/tags?post=937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}