Una sofisticada ciberoperación, cuyo nombre en clave es Dark Tequila, ha estado atacando a usuarios en México al menos durante los últimos cinco años, robando credenciales bancarias, datos personales y corporativos con malware que puede moverse lateralmente a través del ordenador de la víctima estando desconectado. Según los analistas de Kaspersky Lab, el código malicioso se propaga a través de dispositivos USB infectados y por spear-phishing, e incluye aplicaciones para evadir la detección. Se cree que el actor detrás de Dark Tequila es de origen hispanohablante y latinoamericano.
El malware Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para las operaciones de fraude financiero. La amenaza se centra en robar información financiera, pero una vez dentro de un ordenador también transfiere credenciales a otros sitios, incluidos sitios web populares, recolección de direcciones comerciales y personales de correo electrónico, registros de dominio, cuentas de almacenamiento de archivos y otros, posiblemente para venderse o usarse en futuras operaciones. Entre los ejemplos disponibles se incluyen los clientes de correo electrónico de Zimbra y las web de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace y otros.
El malware lleva una carga útil de varias etapas y se distribuye a los usuarios a través de dispositivos USB infectados y correos electrónicos de spear-phishing. Una vez dentro del ordenador, entra en contacto con un servidor de comando para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones técnicas de la red. Si el malware detecta una solución de seguridad instalada, una actividad de supervisión de red o indicios de que la muestra se ejecuta en un entorno de análisis como un entorno limitado virtual, detiene la rutina de infección y se borra del sistema.
Si no se encuentra nada de esto, el malware activa la infección local y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que se mueva offline a través de la red de la víctima, incluso cuando solo un equipo se hubiera visto comprometido inicialmente a través de spear-phishing. Cuando conecta otro USB al ordenador infectado, éste se infecta automáticamente y está listo para propagar el malware a otro objetivo.
El implante malicioso contiene todos los módulos necesarios para la operación, incluido un registrador de claves y la aplicación de supervisión de Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de comando de las órdenes, los diferentes módulos se descifrarán y activarán. Todos los datos robados se envían al servidor cifrados.
Dark Tequila lleva funcionando desde al menos 2013, atacando a usuarios en México o conectados con ese país. Según el estudio de Kaspersky Lab, la presencia en el Código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina.
“A primera vista, Dark Tequila es parecido a cualquier otro troyano bancario, buscando información y credenciales para obtener beneficios económicos. Sin embargo, un análisis más profundo revela una complejidad en el malware que no es habitual ver en las amenazas financieras. La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar su detección y a entregar su carga maliciosa solo cuando el malware decide que es seguro hacerlo. Esta campaña lleva activa durante varios años y todavía se encuentran nuevas ejemplos. Hasta el momento solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo”, comenta Dmitry Bestuzhev, jefe del equipo global de análisis e investigación de América Latina de Kaspersky Lab.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware Dark Tequila.
Kaspersky Lab aconseja a los usuarios que tomen las siguientes medidas para proteger del spear-phishing y de ataques a través de medios extraíbles como los USB.
Para todos:
– Verificar cualquier archivo adjunto de correo electrónico antes de abrirlo
– Deshabilitar la ejecución automática para dispositivos USB
– Verificar las unidades USB antes de abrirlas con las soluciones antivirus
– No conectar dispositivos desconocidos ni memorias USB a su dispositivo
– Utilizar soluciones de seguridad con protección sólida contra amenazas financieras
Las empresas también deben asegurarse de que:
– Si no son necesarios para su actividad, bloquear los puertos USB en los dispositivos de los usuarios
– Administrar el uso de dispositivos USB: definiendo que dispositivos USB se pueden usar, por quién y para qué
– Educar a los empleados sobre las prácticas seguras de USB, sobre todo si están usando el dispositivo para trasladar archivos entre un ordenador doméstico y un dispositivo de la empresa
– No dejar los USB sin recoger o a la vista
Para más información sobre Dark Tequila, incluyendo indicadores de Compromiso, lee el blog en Securelist.
Sobre Kaspersky Lab
Kaspersky Lab es una empresa de ciberseguridad con más de 20 años de trayectoria. El profundo conocimiento de las amenazas y la experiencia en seguridad de Kaspersky Lab se está continuamente transformando en soluciones de seguridad y servicios para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso porfolio de seguridad incluye su reputada solución de protección de dispositivos finales junto soluciones de seguridad y servicios para combatir sofisticadas amenazas en constante evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Más información en www.kaspersky.es