Activo desde 2015, el malware continúa evolucionando y expandiendo su funcionalidad.
Las instituciones financieras de América Latina se enfrentan a una nueva amenaza en forma del troyano bancario Mekotio, también conocido como Melcoz. Según un informe reciente de la empresa Trend Micro, se ha observado un aumento en los ciberataques relacionados con la propagación de este software malicioso para Windows.
El troyano Mekotio ha estado activo desde 2015 y se dirige a países de América Latina como Brasil, Chile, México, España, Perú y Portugal, con el objetivo de robar datos bancarios. Fue documentado por primera vez por la empresa ESET en agosto de 2020. Mekotio pertenece a un grupo de troyanos bancarios que incluye también a Guildma, Javali y Grandoreiro.
Los especialistas de ESET señalaron en su momento que Mekotio tiene características típicas de programas maliciosos similares: está escrito en lenguaje Delphi, utiliza ventanas emergentes falsas, tiene funciones de acceso remoto y se dirige a países de habla española y portuguesa.
La operación de distribución de Mekotio sufrió un golpe en julio de 2021, cuando las autoridades españolas arrestaron a 16 personas involucradas en campañas de ingeniería social dirigidas a usuarios europeos.
La cadena de ataque identificada por los expertos de Trend Micro, que conduce a la infección por Mekotio, comienza con correos electrónicos de phishing relacionados con impuestos, que animan a los destinatarios a abrir archivos adjuntos maliciosos o hacer clic en enlaces falsos, lo que lleva a la descarga de un archivo de instalación MSI que utiliza un script AutoHotKey (AHK) para ejecutar el troyano.
Este proceso de infección de Mekotio difiere del anterior, descrito por la empresa Check Point en noviembre de 2021, donde se utilizaba un script batch ofuscado que ejecutaba PowerShell para descargar un archivo ZIP con un script AHK.
Una vez instalado, Mekotio recopila información del sistema y establece comunicación con un servidor C2 para recibir instrucciones adicionales. El objetivo principal del troyano es robar datos bancarios mediante la visualización de ventanas emergentes falsas que imitan sitios web bancarios legítimos. También puede hacer capturas de pantalla, registrar pulsaciones de teclas, robar datos del portapapeles y garantizar su presencia permanente en el dispositivo infectado.
La información robada permite a los ciberdelincuentes obtener acceso no autorizado a las cuentas bancarias de los usuarios y realizar transacciones fraudulentas. Trend Micro enfatiza que Mekotio representa una amenaza persistente y en constante evolución para los sistemas financieros, especialmente en los países de América Latina.