LATAM bajo asedio: Mekotio y BBTok incautan dispositivos en la región

En América Latina se observa un aumento pronunciado de ataques de phishing relacionados con la propagación de peligrosos troyanos bancarios Mekotio y BBTok. Estos programas maliciosos están dirigidos al robo de datos bancarios y operaciones financieras no autorizadas.

El análisis de los últimos ataques, realizado por investigadores de Trend Micro, muestra que los delincuentes están ampliando sus objetivos, utilizando nuevas tácticas para penetrar en los sistemas de las víctimas. Principalmente, confían en correos electrónicos de phishing disfrazados de mensajes sobre transacciones comerciales o citaciones judiciales.

Los ciberdelincuentes aprovechan el miedo y la confianza. Por ejemplo, correos electrónicos sobre supuestas infracciones de tránsito obligan a los usuarios a apresurarse y tomar decisiones impulsivas, como hacer clic en enlaces que conducen a sitios maliciosos.

Según los estudios de agosto de 2024, las empresas manufactureras se han convertido en las víctimas más frecuentes de estos ataques, representando el 26% de todos los incidentes registrados. Le siguen las empresas minoristas (18%), las empresas tecnológicas (16%) y el sector financiero (8%).

Mekotio, conocido desde 2018, está expandiendo su geografía, incluyendo no solo América Latina, sino también algunos países del sur de Europa. El programa malicioso se propaga a través de correos electrónicos de phishing con archivos adjuntos y utiliza ofuscación para evadir los antivirus.

BBTok, detectado por primera vez en 2020, también se propaga a través de correos electrónicos de phishing, pero su principal arma son los archivos ZIP e ISO con scripts maliciosos. En las últimas campañas, los atacantes han utilizado «MSBuild.exe», una herramienta legítima de Windows, para eludir las defensas.

La nueva versión de Mekotio muestra una actividad inusual: el programa ya no se limita a ciertos países, lo que indica los planes de los delincuentes de expandirse más allá de América Latina.

El uso de programas y utilidades legítimas, como «MSBuild.exe», permite que BBTok penetre en los sistemas sin ser detectado y robe datos. Durante el ataque, el software malicioso establece su presencia en el sistema mediante la creación de una entrada de inicio automático en el registro, lo que asegura su activación cada vez que se enciende la computadora.

Todo esto subraya la necesidad de reforzar las medidas de ciberseguridad para protegerse contra estos ataques complejos. Los expertos recomiendan implementar sistemas para la detección temprana de amenazas, actualizar regularmente los protocolos de seguridad y capacitar a los empleados para identificar ataques de phishing. La protección oportuna y la precaución ayudarán a minimizar el riesgo y mantener la seguridad de los sistemas financieros.