Kaspersky Labs detectó una sofisticada pieza de malware bancario denominada Dark Tequila que se utilizaba para los clientes de varios bancos mexicanos
Los expertos en seguridad de Kaspersky Labs han descubierto una sofisticada variedad de malware bancario llamada Dark Tequila que se utilizó para dirigirse a los clientes de varias instituciones financieras mexicanas.
Según los investigadores, el complejo malware Dark Tequila no se detectó desde al menos 2013.
Dark Tequila es un malware de varias etapas que se propaga a través de mensajes spear-phishing y dispositivos USB infectados.
El malware roba datos financieros de una larga lista de sitios de banca en línea de sistemas infectados, también puede recopilar credenciales de sitios web populares, direcciones de correo electrónico personales y de negocios, registros de dominio y cuentas de almacenamiento de archivos.
La lista de sitios web objetivo del malware incluye "Cpanels, Plesk, sistemas de reserva de vuelos en línea, Microsoft Office 365, clientes de IBM Lotus Notes, correo electrónico Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace y otros servicios. "
"Dark Tequila es una campaña maliciosa compleja dirigida a usuarios mexicanos, con el objetivo principal de robar información financiera, así como credenciales de acceso a sitios web populares que van desde repositorios de versiones de código hasta cuentas públicas de almacenamiento de archivos y registradores de dominio", dice el análisis publicado por Kaspersky.
"Una carga útil multietapa se entrega a la víctima solo cuando se cumplen ciertas condiciones; evitando la infección cuando las suites de seguridad están instaladas o la muestra se está ejecutando en un entorno de análisis ".
Kaspersky destacó que el nivel de sofisticación de la amenaza es inusual para los esquemas de fraude financiero, implementa complejas técnicas de evasión. El malware se entrega solo si se cumplen ciertas condiciones técnicas, es capaz de detectar entornos de análisis y soluciones de seguridad. infección.
La campaña Dark Tequila ofrece un keylogger avanzado que no se detectó al menos durante cinco años debido a su naturaleza altamente específica y algunas técnicas de evasión.
Según los expertos, el actor de amenazas detrás del malware Dark Tequila supervisa y controla estrictamente todas las operaciones. En caso de que el malware infecte casualmente a un sistema, una máquina que no está en México o que no es de interés, el malware se desinstala de forma remota desde la máquina de la víctima.
Dark Tequila tiene una estructura modular, Kaspersky enumeró los siguientes 6 módulos principales:
- Módulo 1 que es responsable de la comunicación con el servidor de comando y control. Verifica si se está realizando una comprobación de red man-in-the-media, al validar los certificados con algunos sitios web muy populares.
- Módulo 2 Limpieza. Si el servicio detecta algún tipo de actividad "sospechosa" en el entorno, como el hecho de que se está ejecutando en una máquina virtual o si las herramientas de depuración se ejecutan en segundo plano, ejecutará este módulo para realizar una limpieza completa del sistema, eliminando el servicio de persistencia, así como cualquier archivo creado previamente en el sistema.
- Módulo 3: Keylogger y Windows Monitor. Está diseñado para robar credenciales de una larga lista de sitios de banca en línea, así como Cpanels genéricos, Plesk, sistemas de reserva de vuelos en línea, Microsoft Office365, clientes de Lotus Notes, correos electrónicos de Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox , Softlayer, Rackspace y otros servicios.
- Módulo 4: robo de información, que está diseñado para robar contraseñas guardadas en clientes de correo electrónico y FTP, así como de los navegadores.
- Módulo 5: El infector USB. Esto copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que el malware se mueva fuera de línea a través de la red de la víctima, incluso cuando solo una máquina se vio comprometida inicialmente a través de spear-phishing. Cuando se conecta otro USB a la computadora infectada, automáticamente se infecta y está listo para propagar el malware a otro objetivo.
- Módulo 6: El perro guardián del servicio. Este servicio es responsable de asegurarse de que el malware se esté ejecutando correctamente.
