Dosis extra de vacuna: un correo apunta a usuarios de Chile para robar credenciales bancarias

Dosis extra de vacuna: un correo apunta a usuarios de Chile para robar credenciales bancarias
ESET, compañía de seguridad informática, advierte sobre una campaña que apunta a usuarios de Chile y que a través de un correo que hace referencia a un turno para recibir una dosis extra de la vacuna contra la COVID-19, busca descargar el Troyano Mekotio y así robar credenciales.

Los cibercriminales siguen aprovechando el tema del COVID-19 para distribuir malware. En esta oportunidad ESET, compañía líder en detección proactiva de amenazas, recibió de parte de Lockbits, su partner de negocios en Chile, una campaña de malspam que se está propagando entre usuarios del país. La misma comienza por un correo electrónico con el asunto: “Dosis extra de vacuna!” y contiene un enlace para descargar un adjunto que desencadena la infección del troyano Mekotio, un malware que roba credenciales para acceder a cuentas bancarias online.

El correo simula ser una comunicación oficial del Ministerio de Salud de Chile y explica que la persona ha sido seleccionada para recibir una dosis adicional de la vacuna. El mensaje incluye un enlace para descargar el detalle del día y la hora para recibir la vacuna contra la COVID-19.

Si quien recibe el correo cae en el engaño y hace clic para descargar el adjunto será redirigido a un sitio web donde se va a descargar un archivo comprimido en formato .zip que aparenta ser un archivo PDF. 

El mismo contiene un archivo malicioso con extensión .msi detectado por las soluciones de seguridad de ESET como JS/TrojanDropper.Agent.OCC, una familia de códigos maliciosos que intenta ejecutar en el dispositivo de la víctima otro código malicioso.

Hasta este punto, si quien recibió el correo electrónico cuenta con una solución de seguridad instalada en el dispositivo, la amenaza va a ser bloqueada sin consecuencias para la seguridad de la información de la persona. Pero si en cambio el dispositivo no está protegido y la amenaza logra iniciarse, se ejecutará un intérprete de AutoHK, un lenguaje de scripting bastante versátil que en los últimos años fue visto en diversas campañas maliciosas en Latinoamérica, para descargar y ejecutar un nuevo archivo comprimido que simula ser un componente de Java. Sin embargo, lo que realmente contiene es una DLL detectada como Win32/Spy.Mekotio.DJ, un código malicioso que intentará robar credenciales bancarias de la víctima.

"Este tipo de códigos malicioso está relacionada con una serie de familias de troyanos bancarios con una actividad importante en países de la región desde hace ya unos años. Desde finales del año anterior ya se habían visto campañas distribuyendo Mekotio utilizado técnicas similares a las de esta campaña, pero con otras técnicas de ingeniería social. Este tipo de campañas ya habían sido alertadas durante este año en otros países como España, y por los indicadores de compromiso y el análisis de la telemetría de ESET hemos detectado campañas similares en México, España y Argentina”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Luego de entender la forma en que funcionan este tipo de campañas, desde ESET destacan la importancia de contar con una solución de seguridad instalada y actualizada en todos los dispositivos que ayude a bloquear este tipo de ataques, además de la necesidad de contar con la información necesaria que pueda ayudar a reconocer este tipo de campañas que utilizan el correo electrónico de manera de estar alertas y evitar caer en engaños.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET:
https://www.welivesecurity.com/la-es/2022/04/08/dosis-extra-vacuna-correo-descargar-troyano-mekotio/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática.
Para escucharlo ingrese a:


Fuente: Francisca Robledo francisca.robledo@bmr.cl

Clínica Alemana Osorno