Mekotio Trojan: otra pesadilla para los usuarios de Windows

CYFIRMA ha descubierto un nuevo programa malicioso llamado Mekotio Trojan, que se está propagando activamente entre los usuarios de todo el mundo. Este troyano complejo utiliza la tecnología PowerShell para infiltrarse en los ordenadores y robar información confidencial.

Según la investigación, Mekotio Trojan emplea un script de PowerShell especialmente cifrado para ocultar sus actividades maliciosas. Primero, recopila datos sobre el sistema infectado (país, nombre del ordenador, nombre del usuario, versión de Windows y presencia de software antivirus). Luego, establece una conexión persistente con un servidor de comando remoto (C2) y desde allí recibe archivos maliciosos adicionales.

Los archivos descargados se descomprimen y se instalan en la carpeta APPDATA del usuario, tras lo cual se inician automáticamente en cada arranque del sistema. Entre estos archivos hay tanto componentes ejecutables (.exe) como scripts (.ahk) que se utilizan para ataques adicionales.

Según los expertos, la dirección IP del servidor de comando al que se conecta Mekotio está registrada en Estados Unidos, en el proveedor de hosting GoDaddy. Además, se han encontrado comentarios en portugués en el código del troyano, lo que podría indicar la participación de cibercriminales brasileños o portugueses.

"Mekotio Trojan es otro ejemplo de cómo los delincuentes utilizan tecnologías avanzadas para robar datos", dice el jefe del departamento de investigación de CYFIRMA. "El uso de poderosos métodos de ofuscación y la garantía de un arranque continuo del programa malicioso lo hacen muy difícil de detectar y eliminar. Todos los usuarios deben reforzar sus medidas de higiene digital e instalar soluciones confiables para protegerse contra tales amenazas".

Los expertos de CYFIRMA señalan que Mekotio utiliza varios niveles de cifrado y camuflaje para dificultar su detección. Además del descifrado XOR personalizado, los delincuentes también emplean diversas técnicas de ofuscación, como la mezcla de nombres de funciones y variables. Esto hace que el análisis del código malicioso sea extremadamente laborioso y complejo.

Según la investigación, Mekotio también intenta determinar qué software antivirus está instalado en el sistema infectado. Es probable que esta información se utilice para evitar la detección.

A pesar de la complejidad de Mekotio, los especialistas de CYFIRMA ya han desarrollado una regla YARA que permite identificar el troyano por sus características únicas. Esto ayudará a las soluciones antivirus a detectar y bloquear la actividad maliciosa.

CYFIRMA recomienda utilizar antivirus modernos, actualizar regularmente los sistemas, ser cauteloso al abrir archivos sospechosos, así como realizar copias de seguridad de datos importantes. Solo un enfoque integral de la ciberseguridad puede proteger contra amenazas recientes como Mekotio.