88.000 ataques en España de un malware que roba y mina criptomonedas

La firma de ciberseguridad Avast advirtió acerca de un nuevo malware que está atacando principalmente a residentes de España y Argentina: se trata de Meh, un virus que no sólo roba las contraseñas de las víctimas, sino que también es capaz de robar fondos en criptomonedas e instalar programas de minería maliciosa o cyptojacking de Monero. Avast reportó que logró contabilizar más de 88.000 ataques dirigidos a españoles.

A mediados de noviembre, la compañía de origen checo compartió la información acerca de Meh en su blog «Decoded», dedicado a exponer las tácticas, técnicas y procedimientos de actores maliciosos. Según Avast, Meh es un ladrón de contraseñas para Windows que tiene más funcionalidades agregadas, entre las que destacan la instalación de un minero malicioso de Monero y el robo de fondos de monederos de criptomonedas.

Entre otras de las funcionalidades de Meh, Avast mencionó el registro de teclas, el robo del contenido del portapapeles, e incluso «una herramienta de acceso remoto (RAT) altamente versátil que puede realizar tareas como fraude publicitario en sitios web o preparar la PC de la víctima para un posible ataque de ransomware», apuntó la compañía.

España y Argentina, los principales blancos de ataque de Meh

La firma de ciberseguridad compartió un análisis de la versión 1.0.0a de Meh, escrita en lenguaje Delphi. Cabe destacar que una versión anterior del software malicioso fue obtenida por un investigador de Avast, que la descargó de sitios de torrents en español.

Articulosde interes

Bitcoin retrocede ante el conflicto y pierde su estatus refugio

2 de marzo de 2026

600

Bitcoin pierde los 67.000 USD y apunta a su quinto mes de pérdidas

27 de febrero de 2026

600

De la versión analizada, el equipo de Avast pudo detectar que ya son más de 88.000 los intentos de infección de Meh en España, de manera que el ladrón de contraseñas se centra principalmente en usuarios residentes de la nación ibérica. Dicha cantidad corresponde a un análisis realizado desde junio de este año. La firma de seguridad cibernética agregó que Argentina es el segundo país más atacado por el malware, con más de 2.000 casos.

Cryptojacking y robo de criptomonedas

De acuerdo con la publicación de Avast, Meh también es capaz de instalar un programa de minería maliciosa de Monero. Avast indicó que el cryptojacking sólo tendrá lugar en caso que no hayan programas de antivirus activados, como Norton, Nod32 o Bitdefender.

Dependiendo del tipo de sistema operativo, si es de 32 bits o de 64 bits, el malware se descargará desde una determinada URL. Avast indicó que Meh instala el programa XMRig, el cual se utiliza para la minería de la criptomoneda XMR, activo nativo de la blockchain de Monero.

Por lo que se refiere al robo de fondos de monederos, el equipo de Avast explicó que Meh tiene la capacidad de vaciar carteras de criptomonedas que estén instaladas en la PC infectada. Meh contiene una funcionalidad que le permite detectar monederos ubicados en el computador; una vez que logra detectarlos, envía un mensaje con el nombre del usuario, el nombre de la computadora de la víctima y un mensaje respecto a la criptomoneda específica que tiene.

De forma similar, la firma de seguridad cibernética Kaspersky anunció este mes la detección del troyano bancario Ghimob, diseñado para infectar a dispositivos móviles, específicamente para atacar a 153 aplicaciones financieras alrededor del mundo, de las cuales 13 son aplicaciones de criptomonedas, y entre las otras destacan apps de 112 instituciones financieras en Brasil y dos entidades bancarias en Perú y Paraguay, respectivamente.

Imagen destacada por kalhh / pixabay.com