El correo con una supuesta «Factura Electrónica” sigue siendo el gancho preferido por el malware Mekotio

Llevamos meses viendo como los buzones de correo de los usuarios españoles se llenan de correos maliciosos con asuntos de lo más variopinto. Sin embargo, uno de los asuntos más recurrentes en las campañas protagonizadas por los troyanos bancarios procedentes de Latinoamérica sigue siendo el de la supuesta factura electrónica, que no deja de utilizarse en campañas de propagación masiva de este tipo de emails.

La factura electrónica pendiente

La continua utilización de esta plantilla y el incremento de la actividad de familias de malware como Grandoreiro y Mekotio durante las últimas semanas demuestra que los delincuentes están teniendo un éxito relativo. En lo que respecta al correo utilizado, no se molestan en realizar apenas cambios, ya que el asunto es lo bastante convincente para algunos usuarios que no dudarán en pulsar sobre alguno de los enlaces proporcionados.

En caso de pulsar sobre un enlace, el usuario es redirigido a la descarga de un fichero alojado en Azure, y aunque estos enlaces suelen tener una corta vida, también suelen evitar los bloqueos de algunas de las medidas de seguridad más aplicadas en las empresas. El archivo descargado viene en formato ZIP y, a diferencia de muchas de las campañas protagonizadas por estas familias de troyanos donde solemos ver ficheros MSI, en esta ocasión nos encontramos con un archivo BAT.

Analizando la cadena de infección

Hace unos días analizamos un caso similar donde también se utilizaba un fichero BAT en lugar del clásico MSI. El contenido del archivo BAT es pequeño y, básicamente, lo que hace es ejecutar un script en PowerShell ofuscado.

Ese script ejecuta de forma transparente para el usuario la descarga de un segundo script PowerShell alojado en un servidor controlado por los atacantes. La utilización de largas cadenas de infección es algo habitual cuando se analizan muestras de malware de estas familias, de hecho, esta cadena de infección es similar a otras observadas en 2019 por estos grupos de delincuentes, que no tienen reparo en reutilizar viejas técnicas con ligeros cambios.

En lo que respecta al script principal de PowerShell, este se encuentra alojado en un servidor controlado por los atacantes y realiza varias tareas. Resulta curioso revisar el nombre de alguna de las funciones y variables usadas por los delincuentes, que delatan su lugar de procedencia brasileño. En este script podemos ver que utilizan palabras portuguesas como “viadinho”, “correios”, “loironinha” o “jogadorfutebol”, entre otras.

Si revisamos el código a fondo podemos distinguir como este script posee varias secciones, empezando por la limitación de su ejecución a los siguientes países: Brasil, Chile, Argentina, México, Colombia, Ecuador, Perú y España. También vemos como se ha incluido una función para detectar posibles soluciones antivirus instaladas en el sistema de la víctima. Además, se incluye la clásica comprobación para ver si el malware se está ejecutando en una máquina virtual.

Podemos  también comprobar en el último bloque del script que el payload se ejecuta mediante un fichero LNK y cómo se trata de conseguir persistencia en el sistema a través de una clave HKCU en el registro de Windows.

Finalmente, tras todo este proceso se descarga el fichero 75T3 en el sistema, un fichero con la extensión cambiada pero que no deja de ser un archivo comprimido en ZIP y que en su interior contiene varios ficheros. Entre estos ficheros podemos encontrar dos librerías DLL usadas para realizar comunicaciones cifradas, el instalador del lenguaje de programación AutoHotkey (muy usado por estas familias de malware), un fichero de texto con las instrucciones para ejecutar el payload del troyano bancario en sí y el propio payload del troyano Mekotio, quien, fiel a la tradición, ocupa la nada despreciable cantidad de 8,2 MB.

Hasta llegar a este punto se han tenido que ejecutar archivos BAT, varios scripts en PowerShell, contactar con servidores controlados por los atacantes y descargar y descomprimir numerosos archivos que son ejecutados siguiendo los comandos incluidos en otros archivos. Estas largas cadenas de ejecución son típicas de los troyanos bancarios asociadas a estas familias con origen en Latinoamérica y no parece que vayan a cambiar estás técnicas a corto plazo.

Conclusión

Si nos fijamos solamente en la plantilla de correo usada podríamos pensar que estamos ante un nuevo caso de troyano bancario sin nada destacable. No obstante, llevamos algunas semanas observando cambios en el funcionamiento de las cadenas de infección de estas familias y estas siguen muy activas afectando a usuarios españoles, por lo que es importante contar con soluciones de seguridad capaces de detectar y bloquear estas amenazas.

Josep Albors

«Pagament taxa REA”: correo suplantando a la Generalitat de Catalunya utilizado para propagar malware