O operațiune cibernetică sofisticată, denumită Dark Tequila, i-a vizat pe utilizatorii din Mexic timp de cel puțin cinci ani, furând date bancare de autentificare, informații despre utilizatori individuali și despre companii, cu un malware care poate să „circule” prin computerul victimei în timp ce acesta este offline. Potrivit cercetătorilor Kaspersky Lab, codul malware se răspândește prin intermediul dispozitivelor USB infectate și al phishing-ului direcționat și include funcții menite să evite detecția. Se crede că autorul din spatele Dark Tequila este vorbitor de limbă spaniolă și provine din America Latină.
Malware-ul Dark Tequila și infrastructura suport sunt neobișnuit de sofisticate pentru operațiuni de fraudă financiară. Amenințarea se concentrează în principal pe furtul de informații financiare, dar odată ajunsă în interiorul unui computer, fură și datele de autentificare de pe alte site-uri, inclusiv de pe unele populare, colectând adrese de e-mail personale și de business, domenii, conturi de stocare de fișiere și altele – care urmau probabil să fie vândute sau folosite în operațiuni viitoare. Exemplele includ clienții de e-mail Zimbra și site-uri pentru Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace.
Programul malware are mai multe etape de infectare și este distribuit către utilizatori prin intermediul unor dispozitive USB infectate și al e-mail-urilor de phishing direcționat. Odată ajuns în computer, malware-ul ia legătura cu serverul de comandă și control pentru a primi instrucțiuni. Procesul de infectare a victimei are loc numai dacă sunt îndeplinite câteva condiții tehnice ale rețelei. Dacă malware-ul detectează o soluție de securitate instalată, activitate de monitorizare a rețelei sau semne că mostra este analizată într-un mediu precum un sandbox virtual, oprește procesul de infectare și dispare din sistem.
Dacă nu este detectat niciunul dintre aceste indicii, malware-ul activează infectarea locală și copiază un fișier executabil pe un drive extern, pentru a fi lansat automat. Acest lucru îi permite malware-ului să circule offline prin rețeaua victimei, chiar și în situația în care a fost compromis numai un dispozitiv, prin intermediului phishing-ului direcționat. Atunci când un alt USB este conectat la un computer compromis, este și el infectat automat și gata să răspândească malware-ul asupra altei ținte.
Implantul periculos conține toate modulele necesare pentru operațiune, inclusiv un key-logger și capacitatea de monitorizare a ferestrelor pentru a obține datele de login și alte informații personale. Atunci când primesc comanda de la serverul de comandă și control, se activează diverse module. Toate datele furate sunt încărcate pe server în formă criptată.
Dark Tequila a fost activ din 2013, vizând utilizatorii din Mexic sau care au legătură cu această țară. Pe baza analizei Kaspersky Lab, prezența cuvintelor spaniole în cod și dovada unor cunoștințe despre acea zonă sugerează faptul că autorii acestei operațiuni sunt din America Latină.
„La prima vedere, Dark Tequila arată ca orice alt troian bancar, care vânează informații și date de autentificare pentru a obține câștiguri financiare, însă o analiză mai atentă arată o complexitate a malware-ului rar întâlnită la amenințările financiare”, spune Dmitry Bestuzhev, Head of Global Research and Analysis Team, America Latină, Kaspersky Lab. „Structura modulară a codului și capacitatea sa de a se ascunde îl ajută să evite mecanismele de detecție și să declanșeze procesul de infectare doar când decide că este sigur să procedeze astfel. Această campanie a fost activă timp de mai mulți ani și sunt găsite încă noi mostre. Până în prezent a atacat doar ținte din Mexic, dar are capacitatea tehnică de a ataca victime din orice parte a lumii.”
Produsele Kaspersky Lab detectează și blochează malware-ul din categoria Dark Tequila.
Kaspersky Lab le recomandă utilizatorilor să ia următoarele măsuri pentru a se proteja de phishing și de atacuri realizate prin intermediul dispozitivelor externe, cum sunt USB-urile.
Toți utilizatorii:
• Verificați anexele e-mail-urilor cu soluția antivirus, înainte de a le deschide
• Dezactivați auto-run-ul pentru dispozitivele USB
• Verificați driverele USB cu soluția antivirus, înainte de a le deschide
• Nu conectați dispozitive necunoscute și stick-uri USB la dispozitivul deținut
• Folosiți o soluție de securitate cu protecție suplimentară solidă împotriva amenințărilor financiare.
Companiile sunt sfătuite, în plus:
• Dacă nu sunt necesare pentru companie, blocați porturile USB de pe dispozitivele utilizatorilor
• Asigurați-vă că gestionați corespunzător folosirea dispozitivelor USB: stabiliți ce USB-uri pot fi folosite, de către cine și în ce scop
• Informați angajații asupra practicilor sigure în legătură cu USB-urile – mai ales dacă dispozitivul este plimbat între computerul de acasă și cel de serviciu.
• Nu lăsați USB-urile la vedere.
