"Dark tequila", el malware que roba información a bancos en México
La firma de seguridad cibernética karspersky dio a conocer una compleja operación cibernética llamada "Dark Tequila", la cual ha estado atacando a usuarios en México durante por lo menos los últimos cinco años, y les ha robado credenciales bancarias y datos personales empleando un código malicioso.
Según la empresa, la operación de este software malicioso tiene la particularidad de moverse lateralmente a través de las computadoras de las víctimas sin conexión a Internet.
"Según los investigadores de Kaspersky Lab, el código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing, e incluye funcionalidades especiales para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano", explicó la empresa.
En su estudio, Karsperky destacó que el malware Dark Tequila y su infraestructura de apoyo son inusualmente avanzados para las operaciones de fraude financiero.
"La amenaza se centra, principalmente, en robar información financiera, pero una vez dentro de una computadora también sustrae credenciales de otras páginas, incluso sitios web populares, recolectando direcciones corporativas y personales de correo electrónico, cuentas de registros de dominio, de almacenamiento de archivos y más, posiblemente para ser vendidas o usadas en operaciones futuras", dijo.
Así, algunos ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.
La operación
Karsperky detalló que el malware lleva una carga útil de varias etapas e infecta los dispositivos de usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones.
"La carga útil se entrega a la víctima sólo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de red o signos de que la muestra se ejecuta en un entorno de análisis, detiene su rutina de infección y se auto-elimina del sistema", detalló.
Si el código malicioso no encuentra ninguna de estas condiciones, el malware activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente.
"Esto permite que el malware se traslade a través de la red de la víctima, aunque no esté conectada a Internet o incluso cuando la red tiene varios segmentos no conectados entre sí. Cuando se conecta otro USB a la computadora infectada, este se infecta automáticamente y así puede infectar otro objetivo, cuando el mismo USB sea conectado", añadió.