Un engaño que utilizó la marca de Entel en los correos electrónicos de varios usuario, analizó e informó el Laboratorio de Investigación de ESET Latinoamérica,que dio aviso de una supuesta deuda con esta compañía, pero que en verdad tiene como objetivo distribuir un troyano bancario denominado Mekotio.

El mail incluye una factura impaga falsa y un enlace para descargar la información. “El enlace incluido no se corresponde con ningún sitio oficial. Este tipo de campañas de ingeniería social lo que buscan con el envío masivo de correos es captar usuarios desprevenidos que, apurados por resolver el problema, no verifiquen donde hacen clic”, menciona Luis Lubeck, Especialista en seguridad informática de ESET Latinoamérica.

Lo particular del enlace para descargar la supuesta factura es que si se intenta acceder desde fuera de Chile, un mensaje indica que no se tiene permiso para acceder. Sin embargo desde Chile, el mismo enlace se vuelve completamente activo.

Cómo actúa el troyano que usa a Entel de carnada

Una vez que se accede al enlace, el usuario puede avanzar con la descarga del archivo comprimido y se encontrará con un instalador autoejecutable de Windows. Al instalarse el autoejecutable se reinicia la computadora de forma completamente automática y aparecen descargados los siguientes componentes en la carpeta documentos:

Al estar activa la infección desde el administrador de tareas se puede corroborar que hay un servicio abierto que se ejecutó de manera automática. Sin embargo, no se permite al usuario eliminar ni detener el proceso.

“Si bien esta campaña fue reportada tiempo atrás, sigue muy activa, principalmente con foco en Chile donde se registran el 48% de las detecciones mundiales de Mekotio durante el último mes, seguido por Brasil con el 44%. Se trata de una campaña altamente dirigida a la región”, agrega Lubeck.

El problema con este troyano es que una vez infectada la computadora, sus capacidades para comenzar a capturar credenciales bancarias quedan activas.

Source: Fayerwayer