Dark Tequila: una compleja operación de malware bancario dirigida contra América Latina

kaspersky_usb_dark-tequila.jpgUna sofisticada ciberoperación, cuyo nombre en clave es Dark Tequila, ha estado atacando a usuarios en México al menos durante los últimos cinco años, robando credenciales bancarias, datos personales y corporativos con malware que puede moverse lateralmente a través del ordenador de la víctima estando desconectado. Según los analistas de Kaspersky Lab, el código malicioso se propaga a través de dispositivos USB infectados y por spear-phishing, e incluye aplicaciones para evadir la detección. Se cree que el actor detrás de Dark Tequila es de origen hispanohablante y latinoamericano.

El malware Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para las operaciones de fraude financiero. La amenaza se centra en robar información financiera, pero una vez dentro de un ordenador también transfiere credenciales a otros sitios, incluidos sitios web populares, recolección de direcciones comerciales y personales de correo electrónico, registros de dominio, cuentas de almacenamiento de archivos y otros, posiblemente para venderse o usarse en futuras operaciones. Entre los ejemplos disponibles se incluyen los clientes de correo electrónico de Zimbra y las web de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace y otros.

El malware lleva una carga útil de varias etapas y se distribuye a los usuarios a través de dispositivos USB infectados y correos electrónicos de spear-phishing. Una vez dentro del ordenador, entra en contacto con un servidor de comando para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones técnicas de la red. Si el malware detecta una solución de seguridad instalada, una actividad de supervisión de red o indicios de que la muestra se ejecuta en un entorno de análisis como un entorno limitado virtual, detiene la rutina de infección y se borra del sistema.

Si no se encuentra nada de esto, el malware activa la infección local y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que se mueva offline a través de la red de la víctima, incluso cuando solo un equipo se hubiera visto comprometido inicialmente a través de spear-phishing. Cuando conecta otro USB al ordenador infectado, éste se infecta automáticamente y está listo para propagar el malware a otro objetivo.

El implante malicioso contiene todos los módulos necesarios para la operación, incluido un registrador de claves y la aplicación de supervisión de Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de comando de las órdenes, los diferentes módulos se descifrarán y activarán. Todos los datos robados se envían al servidor cifrados.

Dark Tequila lleva funcionando desde al menos 2013, atacando a usuarios en México o conectados con ese país. Según el estudio de Kaspersky Lab, la presencia en el Código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina.

“A primera vista, Dark Tequila es parecido a cualquier otro troyano bancario, buscando información y credenciales para obtener beneficios económicos. Sin embargo, un análisis más profundo revela una complejidad en el malware que no es habitual ver en las amenazas financieras. La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar su detección y a entregar su carga maliciosa solo cuando el malware decide que es seguro hacerlo. Esta campaña lleva activa durante varios años y todavía se encuentran nuevas ejemplos. Hasta el momento solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo”, comenta Dmitry Bestuzhev, jefe del equipo global de análisis e investigación de América Latina de Kaspersky Lab.

Los productos de Kaspersky Lab detectan y bloquean con éxito el malware Dark Tequila.

Kaspersky Lab aconseja a los usuarios que tomen las siguientes medidas para proteger del spear-phishing y de ataques a través de medios extraíbles como los USB.

Para todos:
* Verificar cualquier archivo adjunto de correo electrónico antes de abrirlo
* Deshabilitar la ejecución automática para dispositivos USB
* Verificar las unidades USB antes de abrirlas con las soluciones antivirus
* No conectar dispositivos desconocidos ni memorias USB a su dispositivo
* Utilizar soluciones de seguridad con protección sólida contra amenazas financieras

Las empresas también deben asegurarse de que:
* Si no son necesarios para su actividad, bloquear los puertos USB en los dispositivos de los usuarios
* Administrar el uso de dispositivos USB: definiendo que dispositivos USB se pueden usar, por quién y para qué
* Educar a los empleados sobre las prácticas seguras de USB, sobre todo si están usando el dispositivo para trasladar archivos entre un ordenador doméstico y un dispositivo de la empresa
* No dejar los USB sin recoger o a la vista

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.