Dark Tequila: campanha de malware bancário complexo que ataca a América Latina desde 2013

0

Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e com origem latino-americana.

O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais para outros sites, incluindo aqueles populares, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras. Os exemplos incluem os usuários do correio eletrônico Zimbra e os sites Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace e outros.

O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails de phishing. Uma vez dentro de um computador, o malware se comunica com seu servidor de comando para receber instruções. O payload é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, a atividade de monitoramento de rede ou sinais de que a amostra é executada em um ambiente de análise, como uma sandbox, ela interromperá a rotina de infecção e se excluirá do sistema.

Se nada disso for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível para ser executado automaticamente. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à internet, ou até mesmo quando a rede da vítima possua vários segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente e poderá infectar a outro alvo, assim que seja conectado outro dispositivo USB.

O implante malicioso contém todos os módulos necessários para sua operação, incluindo um keylogger e um recurso de monitoramento que captura detalhes de login e outras informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados pelo malware. Todos os dados roubados são enviados para o servidor do atacante de forma criptografada.

O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.

"À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras. A estrutura modular do código e seus mecanismos de detecção e ofuscação ajudam a evitar a descoberta e entregar seu payload malicioso somente quando a vítima é reconhecida e aprovada pelo atacante. Esta campanha está ativa há vários anos e novas amostras ainda estão sendo encontradas. Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente o bastante para atacar alvos em qualquer parte do mundo", diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.