Envío de BUROFAX online: nueva Campaña del troyano bancario Mekotio

No es la primera vez que un troyano usa para distribuirse campañas de SPAM, de hecho, es algo muy habitual como hemos visto a lo largo de multitud de artículos tratados en el blog.

Introduction

Si bien, los asuntos y temas desarrollados en estos correos suelen ser variados. Motivos como el pago de una multa, una factura no pagada, o cualquier otro, especialmente temas relacionados con pagos y movimientos de dinero, unidos a menudo con la suplantación de organismos oficiales que le aporten veracidad a estos emails y que puedan generar que la víctima realicen un clic en un lugar específico, de forma que el atacante consiga su objetivo: que el usuario descargue y abra el archivo adjunto iniciándose así el proceso de infección.

Para el troyano que traemos entre manos en este artículo, el método es similar. En este caso, se trata de una campaña de SPAM detectada recientemente y que obra para propagar Mekotio, también conocido como Pazera, un troyano bancario para sistemas Windows que lleva atacando a entidades latinoamericanas desde finales de 2016, y que en 2020 llegó a España, después de que, al parecer, su equipo de desarrollo empezara a interesarse por entidades bancarias españolas.

El gancho: el burofax online

Como ya sucedió en Enero, el motivo usado como señuelo en la campaña es la llegada de un supuesto burofax online. Si bien, parece ser que los atacantes no se han tomado demasiadas molestias para cuadrarlo al completo, puesto que han reutilizado un dominio que hace referencia a otros asuntos usados en otras campañas de propagación, como es el de las multas impagadas.

revelock-mekoito-01

Muestra email: https://blogs.protegerse.com/2021/03/16/envio-de-burofax-online-regresa-el-troyano-bancario-mekotio/

Como vemos en la imagen, se intenta simular la notificación de un burofax online, en este caso proveniente del departamento jurídico de un despacho de abogados, para el cual usan incluso una dirección física para darle más credibilidad y urgencia al asunto. Así mismo, destaca una dirección web que simula ser la dirección oficial del servicio de salud de una comunidad autónoma española, en un intento de aportar mayor legitimidad al correo.

Funcionamiento

Lo visto en el punto anterior tiene un único fin: que el usuario víctima de esta campaña de SPAM haga clic en el enlace para descargar el archivo adjunto y llegue a abrir el mismo, el cual oculta el dropper del troyano bancario. Y es que en el momento que el atacante consiga que el email engañe al usuario para que este abra el archivo descargado, la víctima tendrá en su poder el fichero que contiene el dropper del troyano bancario.

Como hemos visto en otras ocasiones, este es un método de infección clásico visto en otras campañas de propagación de Pazera, especialmente las que corresponden a sus inicios, ya que recientemente se habían llegado a observar algunos cambios.

revelock-mekoito-02

Archivo comprimido que contiene el instalable MSI

Pues bien, vayamos ahora al fichero. Una vez descargado, se detecta que este contiene un archivo MSI (Microsoft Installer), un instalador para sistemas Windows usado en multitud de ocasiones por otros troyanos para distribuir su código malicioso e infectar a sus víctimas.

Al ejecutar este archivo, que actúa cumpliendo las funcionalidades habituales de un dropper, se realizará una conexión que descargará otros ficheros necesarios para la siguiente fase del ataque, y después de ello, se continuará con la descarga de un fichero final comprimido que contendrá a su vez varios archivos relacionados con el malware bancario. En estos últimos ficheros es donde se encuentra el instalador programado en lenguaje de scripting, un archivo con los posibles comandos y la configuración necesaria para la ejecución efectiva del troyano, y finalmente el archivo DLL que contiene la funcionalidad del mismo.

En la última fase de la infección, tras la descarga del comprimido con la DLL maliciosa que implementa el troyano bancario, esta DLL es ejecutada, manteniéndose a la espera de que la víctima visite la página web de su entidad bancaria para activarse y comenzar a robar las credenciales, principalmente, a través del registro de pulsaciones de teclas (keylogging).

Conclusiones

Mekotio, también conocido como Pazera, es un troyano bancario para sistemas Windows que apunta a entidades bancarias latinoamericanas desde 2016, si bien la lista de entidades afectadas fue en aumento y en sus versiones ya incluye entidades españolas.

Como sucede habitualmente en otras campañas de propagación vía SPAM, el email intenta persuadir al usuario para que descargue y abra el archivo adjunto que actuará como dropper. Es por ello que los asuntos y temas tratados en los mismos suelen implicar cuestiones monetarias como la descarga de una factura, el pago de una multa, o cualquier otro tema que pueda ser de interés para la víctima y que requiera ser tratado con cierta urgencia, como se hace en esta campaña donde se simula la notificación de un burofax online.

Igualmente, es habitual encontrar referencias a supuestos organismos oficiales, como en este caso a la Consejería de Salud de una comunidad autónoma española, quizá en esta ocasión una referencia elegida a propósito dado el contexto en el que estamos viviendo.

Fuente: Revelock

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *