Envío de burofax online. Siguen los intentos de propagación del troyano bancario Mekotio

Entre todas las plantillas de correo usadas por los delincuentes detrás de las campañas de propagación de troyanos bancarios con origen en Latinoamérica hay una que, desde su primera utilización en octubre de 2020, se ha venido reutilizando en numerosas ocasiones con algunas variaciones. Estamos hablando del correo que nos avisa del envío de un supuesto burofax online enviado por un bufete de abogados que, una vez más, trata de conseguir nuevas víctimas.

Revisando el burofax

A estas alturas, el número de usuarios españoles que han recibido uno de estos correos debe de ser elevado tras las numerosas campañas realizadas durante los últimos meses. Seguramente más de uno lo haya recibido en varias ocasiones, y aunque la plantilla usada ha ido cambiando, el mensaje en sí sigue pretendiendo que el usuario pulse sobre el enlace proporcionado para descargar un supuesto burofax online.

Aquellos usuarios que sean más precavidos seguramente habrán detectado varias cosas extrañas en este mensaje. El remitente, por ejemplo, no se corresponde con el supuesto bufete de abogados que dice enviar el email, y aunque en los últimos años hemos visto como los delincuentes han ido suplantando remitentes para tratar que sus correos sean más convincentes, este no es el caso.

Pero además vemos como el enlace proporcionado nos redirige a una dirección un tanto extraña en la que, además, los delincuentes han olvidado codificar un campo como el del destinatario del correo y han dejado bien visible ese parámetro, lo que demuestra que no se han molestado demasiado en la preparación de esta campaña.

Cadena de infección

En el caso de que algún usuario piense que el correo es legítimo y quiera averiguar qué tipo de “notificación fehaciente” le espera al pulsar este enlace, vemos que desde esa URL se descarga un archivo comprimido ZIP. Este es el método tradicional que utilizan estos grupos de delincuentes para descargar el código malicioso en el sistema del usuario, confiando en que este descomprimirá el archivo y ejecutará su contenido.

¿Y qué encontramos dentro del fichero comprimido? Pues nada menos que el clásico fichero MSI sin ofuscar que nada tiene que ver con un supuesto burofax y que depende del usuario (y de su falta de concienciación en seguridad) para que se ejecute, esperando que, con suerte, la solución de seguridad instalada no lo detecte y elimine antes de que pueda llevar a cabo sus acciones maliciosas.

En el supuesto de que el usuario decida ejecutar ese archivo pensando que se trata del anunciado burofax, el malware procede a ejecutar la segunda fase de la infección. En este caso y de forma totalmente transparente para la víctima, se conectará con un servidor controlado por los delincuentes para descargar un nuevo archivo comprimido.

Dentro de este fichero encontramos otros tres siguiendo el patrón clásico del troyano bancario Mekotio. Entre estos archivos encontramos el instalador del lenguaje de programación AutoHotkey, un fichero de configuración y el payload del troyano bancario en sí, en su versión de 32 bits.

Esta campaña de propagación del troyano bancario Mekotio destaca por el poco interés demostrado por los delincuentes en evitar ser detectados. A los puntos ya comentados del uso de un correo electrónico fácilmente identificable como fraudulento y la falta de ofuscación del archivo MSI se une que el payload del troyano bancario tampoco viene empaquetado con el software Themida para dificultar su detección, tal y como veníamos observando desde hace algunos meses en las muestras analizadas.

En cualquier caso, todos los archivos maliciosos utilizados por los delincuentes en esta campaña son detectados por las soluciones de seguridad de ESET, por lo que sus usuarios pueden estar tranquilos.

Conclusión

Sorprende que, a estas alturas, los delincuentes detrás de la propagación de estos troyanos bancarios sigan realizando campañas tan poco preparadas como la que acabamos de realizar. Sin embargo, esto puede ser debido a que obtienen víctimas igualmente, algo que nos debería hacer pensar tanto sobre las medidas de seguridad que aplican los usuarios en general como acerca de la concienciación en ciberseguridad existente.

Josep Albors

¿Actualización de Chrome para Android? Cuidado con este troyano bancario