Dark Tequila es un código malicioso que se propaga a través de dispositivos USB infectados y spear-phishing, e incluye funciones especiales para evadir la detección.
Según informa la firma de seguridad cibernética Kaspersky Lab, este malware ha estado atacando a usuarios en México durante los últimos cinco años y les ha estado robando credenciales bancarias y datos personales mediante un código malicioso que se puede mover en computadoras sin conexión a Internet.
La amenaza centra su tarea en robar información financiera, pero una vez dentro de una computadora es capaz de sustraer credenciales de otros sitios, incluso de webs populares, direcciones comerciales y personales de correo electrónico, registros de dominio, para ser vendidos o usados en operaciones futuras.
Algunos ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.
Este malware infecta los dispositivos de usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el software malicioso se comunica con su servidor de mandos para recibir instrucciones.
“La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se auto-elimina del sistema”, señala el comunicado de la compañía.
Si el código malicioso no encuentra ninguna de estas condiciones, activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente, permitiendo que el malware se traslade a través de la red de la víctima, aunque no esté conectada a Internet o incluso cuando la red tiene varios segmentos no conectados entre sí.
“Cuando se conecta otro USB a la computadora infectada, éste se infecta automáticamente y así puede infectar otro objetivo, cuando este USB sea conectado allí”, dice la misiva.
Dark Tequila ha estado activo desde 2013, atacando a usuarios en México o conectados a ese país. Según el análisis de Kaspersky Lab, la presencia de palabras en español en el código y la evidencia del conocimiento local del país, sugieren que el actor que se encuentra detrás de esta operación es de América Latina.
“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca información y credenciales para obtener ganancias financieras. Sin embargo, un análisis más profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras”, dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina, Kaspersky Lab.
Kaspersky Lab aconseja a seguir las siguientes medidas para protegerse contra el spear-phishing y los ataques que se realizan utilizando medios extraíbles como las unidades USB:
Para todos los usuarios
- Verificar cualquier archivo adjunto de correo electrónico con una solución antimalware antes de abrirlo. - Deshabilitar la ejecución automática desde los dispositivos USB.- Verificar los USB con una solución antimalware antes de abrirlos.- No conectar dispositivos ni memorias USB desconocidas.- Utilice una solución de seguridad con protección adicional contra amenazas financieras.
Para las empresas
- Bloquee los puertos USB en los dispositivos del usuario, si no son necesarios para los negocios.
- Administre el uso de dispositivos USB.
- Eduque a sus colaboradores sobre las prácticas seguras de USB.
- Cuide el lugar donde deja los USB
-
-