• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / El troyano bancario Mekotio resurge con novedades

El troyano bancario Mekotio resurge con novedades

5 noviembre, 2021 Por Alberto Segura Deja un comentario

Se han detectado nuevas muestras de Mekotio con novedades relacionadas con el mecanismo de infección, que lo hacen más sigiloso, reduciendo la detección.

En los últimos días se han detectado nuevas campañas del troyano bancario Mekotio, en ellas, los atacantes envían correos electrónicos fraudulentos haciéndose pasar por la Administración Tributaria. De esta forma, tratan de convencer a las víctimas de que descarguen y abran los ficheros adjuntos, que realmente contienen un dropper del malware, que en fases posteriores se encargará de descargar y ejecutar el troyano bancario.

Mensaje de correo electrónico utilizado en la campaña

Esta nueva campaña de Mekotio comienza con el envío del email fraudulento, que contiene un fichero ZIP adjunto. Dicho fichero contiene un script Powershell que es ejecutado al abrir el fichero comprimido. Este script descargará un nuevo fichero ZIP que contiene la carga maliciosa de la segunda etapa.

En la segunda etapa, se descomprime el segundo comprimido para ejecutar el malware bancario. Este contiene tres ficheros:

  • Interprete de AutoHotKey (AHK)
  • Script AutoHotKey
  • Una DLL que implementa la carga maliciosa del troyano

Esta estrategia en la que se utilizan interpretes de lenguajes de scripting no es nuevo, es la estrategia habitual utilizada por Mekotio. De esta forma, el interprete interpreta y ejecuta el script, que carga la DLL en memoria y la ejecuta. Antes de esta estrategia, los atacantes utilizaban binarios legítimos con vulnerabilidades de DLL Hijacking para ejecutar la DLL maliciosa. De esta forma, tratan de reducir la detección por parte de las soluciones anti-malware, ya que la ejecución se realiza a través de binarios legítimos y firmados.

Estas nuevas campañas llegan después de que el pasado mes de julio la policía española detuviese a 16 individuos relacionados con el troyano bancario Mekotio y otro troyano bancario similar conocido como Grandoreiro.

Más información

Fuente: https://thehackernews.com/2021/11/mekotio-banking-trojan-resurfaces-with.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Hacking de dispositivos iOS

Machine Learning aplicado a Ciberseguridad

Publicado en: General Etiquetado como: malware, Mekotio, troyano

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...