MEKOTIO Y GRANDOREIRO… los troyanos más peligrosos de la Banca hoy…

Porcentaje de detecciones sudamericanas de Mekotio. Fuente: ESSET SECURITY 2021.

La forma de distribución de ambos malware es, a través de correos de phishing que parecen legítimos y suplantan la identidad de empresas u organismos gubernamentales. Los mismos incluyen un enlace malicioso para descargar el malware o un archivo adjunto para el mismo fin. Por ejemplo, en el caso de Chile se han visto correos haciéndose pasar por comunicaciones gubernamentales con beneficios tributarios por la pandemia, o utilizando en el asunto mensajes como “comprobante de transferencia bancaria”.

MEKOTIO

       Es un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal, cuya característica más notable en las variantes más recientes es el uso de una base de datos SQL como servidor de C&C. Si bien, recientemente se han publicado otros artículos sobre Mekotio, han sido un análisis de una variante en particular de este troyano que en ese caso apunta principalmente a usuarios de Chile. Sin embargo, en esta publicación el objetivo es brindar un panorama general a partir del análisis del comportamiento de un conjunto de variantes de Mekotio y destacar las principales características de este troyano bancario, así como su desempeño a lo largo del tiempo.

      Al igual que ha ocurrido con muchos de los otros troyanos bancarios latinoamericanos, el desarrollo de Mekotio a lo largo del tiempo ha seguido un camino bastante caótico y sus características han sido modificadas con mucha frecuencia. Según su versión interna, creemos que se están desarrollando múltiples variantes de este código malicioso de manera simultánea. Sin embargo, al igual que ocurre con Casbaneiro, estas variantes son prácticamente imposibles de separar entre sí, por lo que nos referiremos a todas ellas como Mekotio.

Características

      Mekotio es un típico troyano bancario latinoamericano que ha estado activo desde al menos 2015. Como tal, su forma de atacar es desplegando a la víctima ventanas emergentes falsas con el objetivo de convencerla para que divulguen información confidencial. Estas ventanas emergentes están cuidadosamente diseñadas para suplantar la identidad de diferentes entidades bancarias latinoamericanos, así como otras instituciones financieras.

Mekotio recopila la siguiente información sobre sus víctimas:

·        Configuración del firewall

·        Si la víctima tiene privilegios de administrador

·        Versión del sistema operativo Windows instalado

·        Si están instalados productos de protección antifraude, más específicamente GAS Tecnologia Warsaw e IBM Trusteer

·        Lista de soluciones antimalware instaladas en el equipo.

      Mekotio garantiza la persistencia en el equipo de la víctima mediante el uso de una llave Run o creando un archivo LNK en la carpeta de inicio.

      Como es común en la mayoría de los troyanos bancarios latinoamericanos, Mekotio cuenta con varias capacidades que son típicas de un backdoor. En este sentido, puede tomar capturas de pantalla, manipular ventanas, simular acciones del mouse y del teclado, reiniciar la máquina, restringir el acceso a varios sitios web bancarios y actualizarse.

       Algunas variantes también pueden robar bitcoins reemplazando una billetera bitcoin en el portapapeles y exfiltrar las credenciales almacenadas por el navegador Google Chrome. Curiosamente, uno de los comandos parece tener como objetivo paralizar la máquina de la víctima al intentar eliminar todos los archivos y carpetas en C:\Windows tree.

      Para facilitar el robo de contraseñas mediante su función de keylogger, Mekotio desactiva la opción “Autocompletar” en Internet Explorer. Esta función, cuando está habilitada, ahorra tiempo a los usuarios de Internet Explorer al recordar campos que se han completado previamente. Mekotio desactiva esta función cambiando los siguientes valores del Registro de Windows:

·        HKCU\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete\

o   AutoSuggest = “No”

·        HKCU\Software\Microsoft\Internet Explorer\Main\

o   Use FormSuggest = “No”

o   FormSuggest Passwords = “No”

o   FormSuggest PW Ask = “No”

Distribución

      Creemos que el principal método de distribución de Mekotio es el spam. Desde 2018, se han observado 38 cadenas de distribución diferentes utilizadas por esta familia. La mayoría de estas cadenas constan de varias etapas y terminan descargando un archivo ZIP, lo cual es típico en los troyanos bancarios latinoamericanos. En las siguientes secciones analizamos las dos cadenas más utilizadas.

El algoritmo utilizado para cifrar strings (cadena de caracteres) en los binarios de Mekotio es esencialmente el mismo que utiliza Casbaneiro. Sin embargo, muchas variantes de Mekotio modifican cómo se procesan los datos antes de ser descifrados. Los primeros bytes de la llave de descifrado hardcodeada pueden ignorarse, al igual que algunos bytes de la string cifrada. Algunas variantes codifican aún más strings cifradas con base64. Los detalles de estos métodos varían.

Ya mencionamos que, al igual que otros troyanos bancarios latinoamericanos, Mekotio sigue un ciclo de desarrollo bastante caótico. Sin embargo, además de eso, hay indicadores de que hay múltiples variantes de Mekotio siendo desarrolladas de manera simultánea.

GRANDOREIRO

      Es un troyano bancario que apunta a usuarios de países como Brasil, México, España, Perú y Chile que muestra el gran esfuerzo de sus autores para evadir la detección y la emulación y progresar hacia una arquitectura modular.

      Este troyano, que se distribuye únicamente a través de spam, ha estado activo al menos desde 2017 apuntando a Brasil y Perú, pero en 2019 se expandió sumando a México, España y Chile entre sus objetivos. Los autores suelen utilizar una actualización falsa de Java o Flash, pero recientemente, tal vez como era de esperar, se ha observado que su correo spam también aprovecha el temor por el COVID-19.

      El nombre de esta familia de malware fue dado en función de su característica más notable: sus binarios, que crecen en tamaño al menos a unos cientos de megabytes. Su desarrollo es bastante rápido y los cambios de características y adiciones ocurren muy a menudo.

      De forma similar a varios de los otros malware, este troyano escrito en Delphi ataca a sus víctimas desplegando ventanas emergentes falsas que intentan engañar a las víctimas (haciéndoles creer que se trata de ventanas legítimas de su banco) para que divulguen información confidencial.

      Al igual que los demás troyanos bancarios latinoamericanos, cuenta con funcionalidades de backdoor que le permiten manipular ventanas, actualizarse, registrar las pulsaciones de teclado, simular acciones de mouse y teclado, obtener direcciones URL del navegador de la víctima, cerrar sesión de la víctima o reiniciar el equipo y bloquear el acceso a sitios web elegidos.

      Además, de recopilar información de sus víctimas, como el nombre de la computadora, el nombre de usuario, lista de productos de seguridad instalados o si está instalada una aplicación muy popular en Brasil para proteger el acceso a la banca online, como Warsaw Diebold, de GAS Tecnologia, algunas versiones de Grandoreiro también roban las credenciales almacenadas en el navegador web Google Chrome y los datos almacenados en Microsoft Outlook.

      Un aspecto que vale la pena destacar es que los autores de Grandoreiro parecen estar permanentemente desarrollando este troyano bancario, ya que se han observado varias versiones nuevas cada mes. También, sospechamos que están desarrollando al menos dos variantes simultáneamente.

      Los autores de este troyano parecen estar enfocados principalmente en dos áreas. La primera, en ocultar la dirección de C&C real usando el Algoritmo de Generación de Dominio (DGA, por sus siglas en inglés). El segundo es hacer que el troyano bancario sea modular. En este sentido, los autores introdujeron por primera vez formularios Delphi independientes para cada uno de los bancos apuntados (lo cual es bastante común), pero últimamente, además, crearon archivos DLL separados para cada banco objetivo, un enfoque que no se había visto antes en ningún otro troyano bancario latinoamericano.

Distribución

      El spam parece ser el único método de distribución para Grandoreiro. Los correos no deseados parecen contener un enlace que apunta a un sitio web que ofrece actualizaciones falsas de Flash o Java. Observe la flecha roja en la esquina inferior izquierda adaptada para el navegador web Google Chrome, pero también se muestra en otros navegadores. También, se ha visto a Grandoreiro abusar del miedo en torno a COVID-19.

      A diferencia de la mayoría de los troyanos bancarios latinoamericanos, Grandoreiro utiliza cadenas de distribución bastante pequeñas. Para diferentes campañas, puede elegir un tipo de downloader diferente. Estos downloaders a menudo se almacenan en servicios públicos de intercambio en línea conocidos, como GitHub, Dropbox, Pastebin, 4shared o 4Sync.

      Grandoreiro utiliza una herramienta para crear y enviar sus mensajes spam, como es el SDK de EASendMail. Pero, además de su principal propósito, la herramienta establece persistencia en el equipo de la víctima, probablemente para que los atacantes puedan distribuir esta herramienta a algunas víctimas a través de Grandoreiro. En este sentido, incluyeron a la herramienta un pequeño componente de backdoor que utilizan para recibir archivos de configuración de esos correos spam. Esos archivos dictan cómo se verán los correos electrónicos, a qué apuntarán o dónde enviarlos.

      Como dijimos anteriormente, Mekotio y Grandoreiro son dos familias de troyanos bancarios escritos en Delphi que comparten muchas características en común con otros troyanos que se han definido como troyanos bancarios de América Latina, como es el caso de Amavaldo, Casbaneiro, Mispadu, Guildma, Vadokrist y Ousaban, entre otras. Según los investigadores de ESET, todas estas familias de troyanos bancarios presentan indicadores que demuestran la cooperación existente entre los autores de estos troyanos bancarios.

¿Cuáles son las particularidades de los troyanos bancarios de América Latina?

Antes de seguir avanzando, definiremos las características de este tipo de troyano bancarios:

·        Es escrito en el lenguaje de programación Delphi.

·        Contiene funcionalidades de backdoor.

·        Utiliza largas cadenas de distribución.

·        Puede que divida sus funcionalidades en múltiples componentes.

·        Suele aprovecharse de herramientas legítimas y programas informáticos.

·        Apunta a países en los que se habla español o portugués.

·               Se han encontrado otras características comunes. En este sentido, la mayoría de los troyanos bancarios de América Latina que se han analizado se conectan al servidor de C&C y se mantienen conectados a la espera de recibir cualquier comando que envíe el servidor. Una vez que reciben un comando, lo ejecutan y esperan a recibir uno nuevo. Los comandos probablemente sean enviados de forma manual por los atacantes. Puede pensarse en esta forma de operar como si fuese una sala de chat en la que todos los miembros reaccionan a lo que el administrador escribe.

      La dirección del servidor C&C parece ser la información que los autores de estos malware protegen más. Se han encontrado muchas formas diferentes de esconder la actual dirección. Además del servidor de C&C, una URL diferente es utilizada por el malware para enviar información sobre la identificación de la víctima. Esto ayuda al atacante a mantener un registro de las infecciones exitosas.

      Los troyanos bancarios de América Latina suelen utilizar algoritmos criptográficos generalmente desconocidos y es común que diferentes familias utilicen los mismos.

      El hecho de que este malware esté escrito en Delphi indica que los archivos ejecutables son de al menos unos pocos megabytes de tamaño porque el núcleo de Delphi está presente en cada binario. Adicionalmente, la mayoría de los troyanos bancarios en América Latina contienen un gran número de recursos, lo que provoca un gran incremento en el tamaño de los archivos. En este sentido, incluso, se han descubierto muestras con tamaños de archivos que alcanzan varios cientos de megabytes. En esos casos, el tamaño del archivo se incrementó de manera deliberada con el objetivo de evitar la detección.

Descubriendo familias de malware.

Cuando se analizan tales ejecutables, no resulta difícil determinar rápidamente que se trata de un troyano bancario malicioso. Junto a las características anteriormente mencionadas, los autores tienden a copiar el trabajo realizado por otros o elaborar su malware a partir de una fuente común. Como consecuencia de ello, la mayoría de los troyanos bancarios terminan siendo similares entre sí. Esta es la razón principal por la que generalmente sólo vemos detecciones genéricas.

Una investigación de ESSET Security pudo establecer familias de malware. Con el tiempo, fueron capaces de hacer esto y de identificar más de 10 nuevas familias diferentes. Las características que han utilizado fueron principalmente cómo están almacenados los strings, cómo se obtiene la dirección del servidor C&C y otras similitudes de código.

Siguiendo la cadena de distribución

La manera más sencilla en la que estos troyanos bancarios son distribuidos es mediante la utilización de un único downloader (un archivo ejecutable de Windows) específico para esa familia. Este downloader algunas veces se hace pasar por el instalador de un software legítimo. Este método es simple, pero también el menos común.

Mucho más común es utilizar una cadena de distribución de múltiples etapas que típicamente emplea varias capas de downloaders escritos en lenguajes de scripting, tales como JavaScript, PowerShell o Visual Basic Script (VBS). Este tipo de cadena típicamente consiste en al menos tres etapas. El payload (carga que se ejecuta en un exploit o vulnerabilidad) final es comúnmente entregado a través de un archivo zip que contiene, ya sea el troyano bancario solamente o componentes adicionales junto a él. La principal ventaja que los autores del malware obtienen a partir de este método es que resulta muy complicado para investigadores de malware llegar al final de la cadena y por lo tanto analizar el payload final. Sin embargo, también es más sencillo para una solución antivirus detener la amenaza porque solo necesita romper un eslabón de la cadena.

Estrategia para el robo de dinero

A diferencia de la mayoría de los troyanos bancarios, los de América Latina no utilizan la inyección web, sino que utilizan una forma de ingeniería social. De forma continua detectan las ventanas activas en la computadora de la víctima y si encuentran una relacionada con una institución bancaria, lanzan su ataque.

El propósito del ataque es casi siempre persuadir al usuario para que lleve adelante una acción especial y/o urgente. Esto puede ser la actualización de la aplicación bancaria utilizada por la víctima, o la verificación de la información tanto de una tarjeta de crédito como de las credenciales de acceso a la cuenta bancaria. De esta manera, una falsa ventana emergente es utilizada para robar estos datos una vez que la víctima los ingresa o se utiliza también un teclado virtual que actúa como un keylogger. La información sensible es entonces enviada al atacante, quien hará uso de esta información de la manera en que considere más conveniente.