¡Descubierto despues de 5 años de actividad!

Los investigadores de seguridad de Kaspersky Labs han descubierto una nueva y compleja campaña de malware que se ha dirigido a clientes de varias instituciones bancarias mexicanas desde al menos 2013.

Conocida como Dark Tequila , la campaña ofrece un programa avanzado de detección de keyloggers que logró permanecer bajo el radar durante cinco años debido a su naturaleza altamente específica y algunas técnicas de evasión.

Dark Tequila ha sido diseñado principalmente para robar información financiera de las víctimas de una larga lista de sitios de banca en línea, así como credenciales de acceso a sitios web populares, que van desde repositorios de versiones de código hasta cuentas públicas de almacenamiento de archivos y registradores de dominio.

La lista de sitios seleccionados incluye “Cpanels, Plesk, sistemas de reserva de vuelos en línea, Microsoft Office 365, clientes de IBM Lotus Notes, correo electrónico Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace y otros servicios,” el los investigadores dicen en una publicación de blog .

El malware se envía a las computadoras de las víctimas, en primer lugar, a través de spear-phishing o dispositivos USB infectados.

Una vez ejecutada infecta la computadora de la víctima solo después de que se cumplan ciertas condiciones, lo que incluye verificar si la computadora infectada tiene algún antivirus o conjunto de seguridad instalado o si se está ejecutando en un entorno de análisis.

Además de esto, “el actor detrás de la amenaza supervisa y controla estrictamente todas las operaciones. Si hay una infección casual, que no está en México o no es de interés, el malware se desinstala de forma remota desde la máquina de la víctima”, dicen los investigadores.

El malware Dark Tequila básicamente incluye 6 módulos principales, de la siguiente manera:

1. C & C : esta parte del malware gestiona la comunicación entre la computadora infectada y el servidor de comando y control (C & C) y también es responsable de monitorear los ataques de hombre en el medio para defenderse contra el análisis de malware.

2. Limpieza : mientras se realizan técnicas de evasión, si el malware detecta alguna actividad “sospechosa”, como ejecutar en una máquina virtual o herramientas de depuración, realiza una limpieza completa del sistema infectado, eliminando el servicio de persistencia y la evidencia forense de su presencia.

3. Registrador de teclas – Este módulo ha sido diseñado para monitorear el sistema y registrar las pulsaciones de teclas para robar las credenciales de inicio de sesión para una lista preinstalada de sitios web, tanto bancarios como de otros sitios populares.

4. Stealer de información : este módulo de robo de contraseñas extrae contraseñas guardadas de clientes de correo electrónico y FTP, así como de navegadores.

5. El Infector USB : este módulo se replica e infecta computadoras adicionales a través de unidades USB. Copia un archivo ejecutable en una unidad extraíble que se ejecuta automáticamente cuando se conecta a otros sistemas.

6. Service Watchdog : este módulo es responsable de asegurarse de que el malware se esté ejecutando correctamente.

Según los investigadores, la campaña Dark Tequila aún está activa y puede desplegarse en cualquier parte del mundo para atacar cualquier objetivo “de acuerdo con los intereses del actor de la amenaza detrás de él”.

Para protegerse, se recomienda estar siempre atento a los correos electrónicos sospechosos y mantener una buena solución antivirus para protegerse contra tales amenazas antes de que lo infecten a usted o a su red.

Lo que es más importante, evite conectar dispositivos extraíbles y USB que no sean de confianza a su computadora y considere desactivar la ejecución automática en dispositivos USB.