Una sofisticada ciberoperación, cuyo nombre en clave es Dark Tequila, ha estado atacando a usuarios en México al menos durante los últimos cinco años, robando credenciales bancarias, datos personales y corporativos con malware que puede moverse lateralmente a través del ordenador de la víctima estando desconectado. Según los analistas de Kaspersky Lab,el código malicioso se propaga a través de dispositivos USB infectados y por spear-phishing, e incluye aplicaciones para evadir la detección. Se cree que el actor detrás de Dark Tequila es de origen hispanohablante y latinoamericano.
El malware Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para las operaciones de fraude financiero. La amenaza se centra en robar información financiera, pero una vez dentro de un ordenador también transfiere credenciales a otros sitios, incluidos sitios web populares, recolección de direcciones comerciales y personales de correo electrónico, registros de dominio, cuentas de almacenamiento de archivos y otros, posiblemente para venderse o usarse en futuras operaciones. Entre los ejemplos disponibles se incluyen los clientes de correo electrónico de Zimbra y las web de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace y otros.
El malware lleva una carga útil de varias etapas y se distribuye a los usuarios a través de dispositivos USB infectados y correos electrónicos de spear-phishing. Una vez dentro del ordenador, entra en contacto con un servidor de comando para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones técnicas de la red. Si el malware detecta una solución de seguridad instalada, una actividad de supervisión de red o indicios de que la muestra se ejecuta en un entorno de análisis como un entorno limitado virtual, detiene la rutina de infección y se borra del sistema.
Si no se encuentra nada de esto, el malware activa la infección local y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que se mueva offline a través de la red de la víctima, incluso cuando solo un equipo se hubiera visto comprometido inicialmente a través de spear-phishing. Cuando conecta otro USB al ordenador infectado, éste se infecta automáticamente y está listo para propagar el malware a otro objetivo.
La presencia en el código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina
El implante malicioso contiene todos los módulos necesarios para la operación, incluido un registrador de claves y la aplicación de supervisión de Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de comando de las órdenes, los diferentes módulos se descifrarán y activarán. Todos los datos robados se envían al servidor cifrados.
Dark Tequila lleva funcionando desde al menos 2013, atacando a usuarios en México o conectados con ese país. Según el estudio de Kaspersky Lab, la presencia en el Código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina.
Un malware más complejo de lo habitual
“A primera vista, Dark Tequila es parecido a cualquier otro troyano bancario, buscando información y credenciales para obtener beneficios económicos. Sin embargo, un análisis más profundo revela una complejidad en el malware que no es habitual ver en las amenazas financieras. La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar su detección y a entregar su carga maliciosa solo cuando el malware decide que es seguro hacerlo. Esta campaña lleva activa durante varios años y todavía se encuentran nuevas ejemplos. Hasta el momento solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo”, comenta Dmitry Bestuzhev, jefe del equipo global de análisis e investigación de América Latina de Kaspersky Lab.
