Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e com origem latino-americana.
O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais para outros sites, incluindo aqueles populares, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras. Os exemplos incluem os usuários do correio eletrônico Zimbra e os sites Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace e outros.
O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails de phishing. Uma vez dentro de um computador, o malware se comunica com seu servidor de comando para receber instruções. O payload é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, a atividade de monitoramento de rede ou sinais de que a amostra é executada em um ambiente de análise, como uma sandbox, ela interromperá a rotina de infecção e se excluirá do sistema.
Se nada disso for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível para ser executado automaticamente. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à internet, ou até mesmo quando a rede da vítima possua vários segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente e poderá infectar a outro alvo, assim que seja conectado outro dispositivo USB.
O implante malicioso contém todos os módulos necessários para sua operação, incluindo um keylogger e um recurso de monitoramento que captura detalhes de login e outras informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados pelo malware. Todos os dados roubados são enviados para o servidor do atacante de forma criptografada.
O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.
“À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras. A estrutura modular do código e seus mecanismos de detecção e ofuscação ajudam a evitar a descoberta e entregar seu payload malicioso somente quando a vítima é reconhecida e aprovada pelo atacante. Esta campanha está ativa há vários anos e novas amostras ainda estão sendo encontradas. Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente o bastante para atacar alvos em qualquer parte do mundo”, diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina.
