ITCAndino

Dark Tequila: ataques con sabor regional

Dark Tequila: ataques con sabor regional
agosto 22
23:28 2018

Dark Tequila es el nombre de una campaña que lleva más de tres años ejecutándose y que está enfocada en capturar datos financieros de usuarios mexicanos. Se trata de una campaña geo-restringida, que fácilmente podría ser modificada para atacar en otro país o en un segmento específico de usuarios

 

Una compleja operación cibernética llamada Dark Tequila ha estado atacando a los usuarios en México durante por lo menos los últimos cinco años, y les ha robado credenciales bancarias y datos personales empleando código malicioso que puede moverse lateralmente a través de las computadoras de las víctimas sin conexión a Internet. Según los investigadores de Kaspersky Lab, ese código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing, e incluye funcionalidades especiales para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano

Con una estructura modular, esta amenaza es fácilmente configurable y actualizable. Los creadores de dicha amenaza se preoxcuparon por darle una estructura modular, lo cuál aumenta su versatilidad, y aunque hasta ahora no se haya visto que aprovechen esa modularidad de manera extensiva, si permitiría cambiar el comportamiento de la amenaza de manera significativa en muy poco tiempo, un hecho que dificultó su identificación en un principio, ya que aunque los componentes separados (los diferente módulos) eran detectados por los antivirus, la pertenencia de todos estos a un único sistema configurable, fue algo complejo de visualizar. Además este virus cuenta con mecanismos propios para evitar ser identificado, incluyendo la posibilidad de desinstalarse en caso de detectar una solución de seguridad instalada en el PC que está infectando.

Funcionalidades del malware Dark Tequila

Funcionalidades del malware Dark Tequila

El malware Dark Tequila y su infraestructura de apoyo son inusualmente avanzados para las operaciones de fraude financiero. La amenaza se centra principalmente en robar información financiera, pero una vez dentro de una computadora también sustrae credenciales de otros sitios, incluso sitios web populares, recolectando direcciones comerciales y personales de correo electrónico, cuentas de registros de dominio, cuentas de almacenamiento de archivos y más, posiblemente para ser vendidos o usados en operaciones futuras. Ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.

El malware lleva una carga útil de varias etapas e infecta los dispositivos de los usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se auto-elimina del sistema.

Si no encuentra ninguna de estas condiciones, el malware activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que el malware se traslade a través de la red de la víctima aunque no esté conectada a Internet o incluso cuando la red de la víctima tiene varios segmentos no conectados entre sí. Cuando se conecta otro USB a la computadora infectada, éste se infecta automáticamente y así puede infectar otro objetivo, cuando este USB sea conectado allí.

El implante malicioso contiene todos los módulos necesarios para su operación, incluyendo un detector de pulsaciones en el teclado y el módulo vigilante en Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de mandos envíe el comando respectivo, nuevos diferentes módulos se instalarán y se activarán. Todos los datos robados de la víctima, se transmiten al servidor del atacante en forma cifrada.

Dark Tequila ha estado activo desde al menos 2013, atacando a usuarios en México o conectados a ese país. Según el análisis de Kaspersky Lab, la presencia de palabras en español en el código y la evidencia del conocimiento local del país, sugieren que el actor que se encuentra detrás de esta operación es de América Latina.

“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca información y credenciales para obtener ganancias financieras. Sin embargo, un análisis más profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras. La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar que lo descubran y a entregar su carga maliciosa solo cuando la víctima sea reconocida y aprobada por el atacante. Esta campaña ha estado activa durante varios años y todavía se siguen encontrando nuevas muestras. Hasta la fecha, solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo”, dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina, Kaspersky Lab.

Los productos de Kaspersky Lab detectan y bloquean con éxito el malware relacionado con Dark Tequila. Kaspersky Lab aconseja a los usuarios que sigan las siguientes medidas para protegerse contra el spear-phishing y los ataques que se realizan utilizando medios extraíbles como las unidades USB:

Para todos:

  • Verifique cualquier archivo adjunto de correo electrónico con una solución antimalware antes de abrirlo
  • Deshabilite la ejecución automática desde dispositivos USB
  • Verifique las unidades USB con su solución antimalware antes de abrirlas
  • No conecte dispositivos y memorias USB desconocidas a su dispositivo
  • Utilice una solución de seguridad con protección robusta adicional contra amenazas financieras

Las empresas también deben asegurarse de:

  • Si no son necesarios para los negocios, bloquee los puertos USB en los dispositivos del usuario
  • Administre el uso de dispositivos USB: defina qué dispositivos USB se pueden usar, por quién y para qué
  • Eduque a los empleados sobre las prácticas seguras de USB, particularmente si están moviendo el dispositivo entre una computadora hogareña y un dispositivo de trabajo.
  • No deje los USB por ahí o en exhibición

acerca del autor

Alcides Leon

Alcides Leon

Alcides León es un Ing. en Computación que desde 1997 se ha dedicado a la difusión editorial de temas tecnológicos. Ha colaborado en revistas de tecnología de la talla de PC World Latinoamérica, revistas de negocios como PRODUCTO y DINERO (ambas en Venezuela) y muchas otras. Es conferencista y asesor en temas de SocialMedia para comunicación

entradas relacionadas

0 comentarios

¡No hay comentarios aún!

¡No hay comentarios aún! ¿Desea agregar uno?

Escriba un comentario

Escriba un comentario

PUBLICIDAD




Tweets

PUBLICIDAD