Contenido de Detección: Troyano Bancario Mekotio

Últimas Amenazas

agosto 18, 2020

2 min de lectura

Contenido de Detección: Troyano Bancario Mekotio

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Mekotio es un troyano bancario de América Latina que se dirige principalmente a usuarios en Brasil, México, España, Chile, Perú y Portugal. Se trata de un malware persistente que se distribuye a través de correos electrónicos de phishing y asegura la persistencia creando un archivo LNK en la carpeta de inicio o utilizando una clave de ejecución. Es capaz de robar criptomonedas de un usuario objetivo, tomar capturas de pantalla, reiniciar sistemas infectados, restringir el acceso a sitios web bancarios legítimos y robar credenciales de Google Chrome. Además, el troyano bancario puede acceder a la configuración del sistema del usuario, información sobre el sistema operativo Windows, configuración del firewall, y la lista de soluciones antivirus instaladas. 

El troyano bancario Mekotio puede actuar como un simple destructor al eliminar archivos y carpetas del sistema. La característica más notable de las variantes más recientes de esta familia de malware es el uso de una base de datos SQL como servidor C&C. Los servidores C&C utilizados por Mekotio están basados en el proyecto de código abierto Delphi Remote Access PC o utilizan una base de datos SQL que almacena comandos C&C. Mekotio llama a procedimientos SQL específicos almacenados en el lado del servidor usando las credenciales codificadas en el binario. 

Osman Demir lanzó una nueva regla Sigma comunitaria para detectar la instalación del troyano y sus mecanismos de persistencia

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Persistencia

Técnicas: Claves de Ejecución del Registro / Carpeta de Inicio  (T1060), Phishing Dirigido Enlace (T1192)

 

Explora más Reglas en Threat Detection Marketplace publicado por Osman Demir


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko