De acordo com os investigadores do laboratório da Kaspersky Lab, o código malicioso do Dark Tequila espalha-se através de dispositivos USB infectados e de spear phishing, tendo recursos para evitar a detecção.
Dark Tequila tem estado activa pelo menos desde 2013, tendo como alvo utilizadores no México ou que estejam conectados ao país. Com base na análise dos laboratórios Kaspersky, a presença de palavras espanholas no código e evidências de conhecimento local sugerem que o agente da ameaça por detrás da operação é da América Latina.
A ameaça está focada principalmente em roubar informações financeiras, mas uma vez dentro de um computador, também desvia credenciais para outros websites, extrai endereços de email profissionais e pessoais, domínios registados, contas de armazenamento de ficheiros, possivelmente para serem vendidos ou utilizados em futuras operações.
A carga útil é entregue à vítima apenas quando determinadas condições técnicas da rede são atendidas. Se o malware detectar uma solução de segurança instalada, actividade de monitorização de rede ou sinais de que a amostra é executada num ambiente de análise, ele interrompe a infecção e apaga-se do sistema.
Se nenhum dos referidos é detectado, o malware activa o local da infecção e copia um arquivo executável para uma unidade removível, de forma a ser executado automaticamente. Isto permite que o malware se mova em modo offline pela rede das vítimas, mesmo até quando apenas uma máquina foi comprometida através de spear phishing.
Quando outro dispositivo USB é conectado no computador infectado, automaticamente fica infectado e está pronto para espalhar o malware para outros alvos.
O implante malicioso contém todos os módulos requeridos para a operação, incluindo um keylogger e a capacidade de monitorização para capturar detalhes de login e outras informações pessoais.
Quando instruído a fazê-lo pelo servidor no comando, diferentes módulos são descodificados e activados. Todos os dados roubados são enviados para o servidor de forma encriptada.
“À primeira vista, a Dark Tequila assemelha-se com qualquer outro trojan bancário, recolhendo informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade de malware que não é vista com frequência em ameaças financeiras. A estrutura modular do código e os seus mecanismos de detecção e ofuscação ajudam a evitar a descoberta e entregar a carga maliciosa somente quando o malware decide que é seguro fazê-lo. Esta campanha está activa há vários anos e novas amostras ainda estão a ser detectadas. Até ao momento, ele atacou apenas alvos no México, mas a sua capacidade técnica é adequada para atacar alvos em qualquer parte do mundo”, disse Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America, Kaspersky Lab.
Via Kaspersky Lab.