El troyano bancario Mekotio: nueva amenaza para el Banco del Bienestar
.jpeg)
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
Recientemente hemos visto un aumento en los ataques relacionados con el troyano bancario Mekotio contra bancos e instituciones financieras mexicanas. En este caso se ha incrementado la actividad contra el Banco del Bienestar.
Un análisis realizado por la unidad de investigación de SILIKN, en mayo de 2024, confirmó la existencia de una vulnerabilidad en los servidores del Banco del Bienestar. De acuerdo con este reporte, dicha falla de seguridad posibilita el acceso no autorizado tanto para atacantes externos como para el propio personal del banco, lo que facilita la extracción y desvío de fondos sin dejar rastro. Como consecuencia de esto, se han registrado pérdidas tanto por dinero no entregado como por cargos no reconocidos en los cajeros automáticos de la entidad bancaria.
Es importante destacar que al finalizar el año 2023, las reclamaciones por servicios deficientes del Banco del Bienestar ascendieron a 384 mil 64 millones de pesos, lo que representa un aumento del 148% en comparación con el año anterior, según información proporcionada por la Comisión Nacional Bancaria y de Valores (CNBV).
Este es el importe más alto reclamado durante los años de funcionamiento del Banco del Bienestar. Según datos de la CNBV, solo se reembolsaron a los usuarios afectados 142 mil 5 millones de pesos. En detalle, el año pasado, el dinero no entregado por los cajeros automáticos y los retiros no reconocidos por los usuarios del Banco del Bienestar ascendieron a 308 mil 8 millones de pesos.
En este sentido, la campaña reciente del troyano bancario Mekotio llega a través de correos electrónicos que parecen provenir del banco solicitando al usuario realizar determinada acción. Estos correos electrónicos contienen un archivo ZIP adjunto o un enlace a un sitio malicioso. Una vez que el usuario interactúa con el correo electrónico, el malware se descarga y se ejecuta en su sistema.
Al ejecutarse, Mekotio recopila información del sistema y establece una conexión con un servidor de comando y control. Este servidor proporciona instrucciones y una lista de tareas que debe realizar el malware.
El objetivo principal de Mekotio es robar credenciales bancarias. Para lograrlo, muestra ventanas emergentes falsas que imitan sitios bancarios legítimos y engañan a los usuarios para que ingresen sus datos, que luego el troyano recopila.
De igual forma, Mekotio puede hacer capturas de pantalla, registrar pulsaciones de teclas y robar datos del portapapeles, así como mantener su presencia en el sistema infectado. La información bancaria robada se envía de regreso al servidor de comando y control, donde los cibercriminales pueden usarla para actividades fraudulentas, como el acceso no autorizado a cuentas bancarias.
Mekotio es un sofisticado malware que ha estado activo desde al menos 2015, y que se dirige principalmente a países latinoamericanos con el objetivo de robar información confidencial, en particular, credenciales bancarias, de sus objetivos.
Originario de la región latinoamericana, ha sido particularmente prolífico en Brasil, Chile, México, España y Perú. Además, Mekotio parece compartir un origen común con otro malware bancario latinoamericano notable, como Grandoreiro, que fue desmantelado por las fuerzas del orden a principios de este año.
Mekotio suele distribuirse a través de correos electrónicos de phishing, que emplean ingeniería social para engañar a los usuarios para que interactúen con enlaces o archivos adjuntos maliciosos.
En esta situación, desde este mes y durante los próximos seis meses, alrededor de 25 millones de familias en México podrían enfrentar dificultades para recibir los fondos asignados a los programas sociales. Estas familias son receptoras directas de al menos uno de los programas para el Bienestar, los cuales benefician a diversos grupos, como adultos mayores, personas con discapacidad, estudiantes de todos los niveles y jóvenes.
Se hace un llamado a las autoridades para que examinen y solucionen cualquier fallo que los sistemas puedan presentar, al mismo tiempo que adoptan medidas inmediatas para prevenir la extracción de fondos por parte de atacantes, tanto externos como empleados del banco. Además, se espera que informen de manera transparente a los ciudadanos sobre las medidas de protección que implementarán para salvaguardar los fondos de los programas sociales disponibles.
Para más información, visite: https://www.silikn.com/