Advierten sobre troyano bancario que usa boletas de Entel por mail

Advierten sobre troyano bancario que usa boletas de Entel por mail

ESET encontró el troyano bancario Mekotio dirigida a usuarios de Chile. La misma se propaga a través del correo como un mensaje plagio de Entel.

Un engaño que utilizó la marca de Entel en los correos electrónicos de varios usuario, analizó e informó el Laboratorio de Investigación de ESET Latinoamérica,que dio aviso de una supuesta deuda con esta compañía, pero que en verdad tiene como objetivo distribuir un troyano bancario denominado Mekotio.

El mail incluye una factura impaga falsa y un enlace para descargar la información. “El enlace incluido no se corresponde con ningún sitio oficial. Este tipo de campañas de ingeniería social lo que buscan con el envío masivo de correos es captar usuarios desprevenidos que, apurados por resolver el problema, no verifiquen donde hacen clic”, menciona Luis Lubeck, Especialista en seguridad informática de ESET Latinoamérica.

Mekotio Entel

Lo particular del enlace para descargar la supuesta factura es que si se intenta acceder desde fuera de Chile, un mensaje indica que no se tiene permiso para acceder. Sin embargo desde Chile, el mismo enlace se vuelve completamente activo.

Cómo actúa el troyano que usa a Entel de carnada

Una vez que se accede al enlace, el usuario puede avanzar con la descarga del archivo comprimido y se encontrará con un instalador autoejecutable de Windows. Al instalarse el autoejecutable se reinicia la computadora de forma completamente automática y aparecen descargados los siguientes componentes en la carpeta documentos:

Virus

Al estar activa la infección desde el administrador de tareas se puede corroborar que hay un servicio abierto que se ejecutó de manera automática. Sin embargo, no se permite al usuario eliminar ni detener el proceso.

Troyano

“Si bien esta campaña fue reportada tiempo atrás, sigue muy activa, principalmente con foco en Chile donde se registran el 48% de las detecciones mundiales de Mekotio durante el último mes, seguido por Brasil con el 44%. Se trata de una campaña altamente dirigida a la región”, agrega Lubeck.

El problema con este troyano es que una vez infectada la computadora, sus capacidades para comenzar a capturar credenciales bancarias quedan activas.