Mekotio y BBTok repuntan en América Latina
Trend Micro analiza un incremento significativo en los intentos de distribución de estos troyanos bancarios que también afectan a España
Los sistemas de monitorización de la compañía han detectado un incremento significativo en el número de ataques de phishing destinados a distribuir Mekotio y BBTok. Estos troyanos bancarios tienen como objetivo principal a países latinoamericanos y en el caso del primero también a entidades bancarias españolas.
En el análisis de Trend Micro se ha podido observar una nueva variante de cebo para captar víctimas. Típicamente los atacantes recurren a la simulación de transacciones comerciales o impuestos impagados para conseguir sus objetivos maliciosos. En estas recientes campañas se ha observado por primera vez el uso de falsas multas de tráfico.
El incremento de actividad detectado por los investigadores concuerda con el número de muestras de Mekotio subidas a MalwareBazaar Database en los últimos meses. En esta base de datos podemos además encontrar muestras e indicadores de compromiso para analizar.
Mekotio amplía su rango de acción
En las muestras recientes de este troyano bancario que lleva operando desde 2018 se han encontrado ciertas evoluciones. En primer lugar se ha incrementado la ofuscación de componentes como los scripts .bat y .ps1 utilizados en las primeras fases de infección.
Además se ha observado que, a diferencia de muestras distribuidas en otras campañas, estas no limitan su ejecución a un listado predeterminado de países. Esto podría indicar un intento por parte de los desarrolladores de ampliar el radio de acción del troyano atacando a un número más amplio de entidades en otras localizaciones.
BBTok prioriza la evasión
Para evitar la detección BBTok recurre a utilidades legítimas de Windows, una estrategia común que utilizan múltiples variantes de malware para conseguir sus objetivos maliciosos de la forma más sigilosa posible.
Para no volver a ejecutarse en un sistema ya infectado el troyano verifica la existencia de un mutex y en caso de no encontrarlo lo genera. Este tipo de marcas de infección se utiliza en algunas soluciones como microClaudia, del CCN-CERT, para «vacunar» sistemas y evitar la infección inicial, aunque la efectividad de estos elementos de protección depende de las características concretas del malware.
Fuentes y más información:
- https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html
- https://documents.trendmicro.com/images/TEx/Mekotio-and-BBTok-IOCsktvYaQ0.txt
- https://bazaar.abuse.ch/browse/tag/Mekotio/
- https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/
