Gli esperti di cybersecurity lanciano l’allarme: una nuova famiglia di trojan bancari sta bersagliando gli utenti Windows in tutta l’America Latina. Pare che questo malware riesca persino a sottrarre criptovalute.

Secondo un report pubblicato dalla società di sicurezza informatica ESET, il malware noto come “Mekotio” è attivo dal marzo 2018. Da allora i criminali hanno lavorato per migliorare le potenzialità del software, bersagliando più di 51 banche.

Ora però il trojan si sta concentrando su Bitcoin (BTC) invece che sui dati bancari. Questo significa che Mekotio ha iniziato a colpire singoli utenti.

Anche la Spagna è stata colpita da Mekotio

Gli hacker agiscono tramite invio di e-mail di phishing, principalmente dirette ad utenti cileni e di altri Paesi vicini: nondimeno, sono stati registrati casi anche in Spagna.

La ricerca chiarisce come nel corpo della mail sia incluso un link che, una volta aperto, procede a scaricare un file .zip. Questo file a sua volta contiene un installer .msi: se l’utente lo apre, l’attacco di Mekotio va a segno. 

Daniel Kundro, cybersecurity expert di ESET, ha spiegato che Mekotio sostituisce l’indirizzo del wallet BTC copiato nella clipboard dell’utente. Ciò significa che se l’utente ignaro sta per eseguire un trasferimento di crypto e inserisce l’indirizzo del destinatario facendo copia & incolla, l’exploit sostituisce l’indirizzo della vittima con quello del criminale.

I criminali utilizzano molteplici wallet BTC per far perdere le proprie tracce

Kundro chiarisce come i creatori di Mekotio non utilizzino un singolo wallet per ricevere i fondi rubati, ma plurimi indirizzi, così da rendere più complesso tracciare i flussi di denaro.

Il trojan, però, non si limita a rubare crypto e dati bancari: può anche sottrarre le password salvate sui browser.

A maggio di quest'anno, l'azienda di sicurezza informatica Group-IB ha scoperto un ransomware noto come ProLock, basato sul trojan bancario Qakbot. Questo software cripta i file presenti nel dispositivo della vittima: i criminali richiedono poi cifre a sei zeri, da pagare in BTC, per decriptare le informazioni.

Questo mese Microsoft Security Intelligence ha segnalato la presenza di una nuova tipologia di ransomware, detta Avaddon, che utilizza vecchie macro di Excel 4.0 e che prende di mira principalmente utenti italiani.