“Comprobante de transferencia bancaria”: correo que propaga el troyano bancario Mekotio
Tal y como viene siendo habitual desde hace meses, cada semana tenemos alguna campaña nueva de un troyano bancario brasileño propagándose entre usuarios españoles. Hace tiempo que estas campañas se reparten entre dos familias de malware con estrecha relación entre ellas, Grandoreiro y Mekotio, con ejemplos como el que analizamos a continuación.
Comprobante de transferencia bancaria
El correo recibido esta mañana en nuestro laboratorio y en los buzones de muchos usuarios españoles utiliza una plantilla que llevamos viendo algún tiempo, y que sufrió una ligera modificación la semana pasada al cambiar la imagen del supuesto documento adjunto. En este correo se proporciona un enlace para descargar un supuesto justificante de transferencia de una cantidad de dinero importante, una táctica que se utiliza a menudo y que, viendo la cantidad de mensajes que continúan utilizándola, sigue siendo efectiva.
Si se pulsa sobre el enlace proporcionado, el usuario será redirigido a una URL alojada en Azure, la nube de Microsoft, enlace que contiene las palabras “devolución impuestos” para así tratar de ser más convincente y conseguir más posibles víctimas. En ese enlace se nos pedirá descargar el archivo DEVOLUCION_362204_UUU.zip.
Como viene siendo habitual cuando analizamos este tipo de amenazas, comprobamos como el archivo comprimido contiene a su vez dos ficheros. El primero es un archivo MSI que hace la función de descargador del troyano en sí, mientras que el fichero GIF en algunos casos analizados previamente suele contener información acerca de la configuración utilizada por los delincuentes.
La cadena de infección es la habitual en estos casos, con el fichero MSI contactando con una dirección controlada por los delincuentes y desde donde se descarga el troyano bancario Mekotio propiamente dicho, encargado de robar la información relacionada con las credenciales de acceso a la banca online de la víctima.
Las soluciones de seguridad de ESET detectan el fichero MSI como el troyano JS/Kryptik.BIK.
Conclusión
Llevamos bastantes semanas sin cambios importantes que destacar en las tácticas y procedimientos de los delincuentes detrás de estas campañas. Esto puede indicar que, de momento, estas amenazas y sus métodos de propagación están funcionando razonablemente bien y no necesitan ser modificadas, pero esto puede cambiar de un día a otro, por lo que conviene estar preparado y contar con una solución de seguridad capaz de detectar y bloquear estas y muchas otras amenazas.
Indicadores de compromiso:
————–Correo comprobante transferencia————–
Asunto: comprobante de transferencia bancaria.
Fecha: Tue, 22 Sep 2020 07:06:39 CET
Message ID: <58ae75535652764b27609626bf8a01ea@194.67.116.226>
Contiene enlace a:
hxxp://devolucionimpuestos[.]eastus[.]cloudapp[.]azure[.]com/
Descarga:
DEVOLUCION_362204_UUU.zip
SHA-256: ded84cd31ba9e80fbd6883f70226a0eb3a96d457c81e70b129f308baf12bce29
Contiene:
362204_UUU.msi
SHA-256: edc2d992fb1d441a50645b0b8379f7f6bab5724c3bff65294b9eebfe8dcbba9a
Related Posts
-
Nuevo troyano para Mac contiene referencias al Ejército Electrónico Sirio
-
Xenomorph, nuevo troyano bancario para Android en desarrollo con varios bancos españoles entre sus objetivos
-
Operación policial internacional desmantela las operaciones del grupo de ransomware Hive
-
Avisos de vencimiento de facturas para propagar nuevas muestras del troyano bancario Grandoreiro
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.