Dark Tequila: Kaspersky descobre campanha de malware bancário na AL

Sofisticada operação cibernética rouba credenciais bancárias ao utilizar um código malicioso que pode se mover por meio do computador da vítima, mesmo sem conexão à Internet

CIDADE DO PANAMÁ – Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. A campanha foi revelada durante a Semana de Cibersegurança, que acontece aqui no Panamá.

Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.

O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais de outros sites, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras.

O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema.
Se nada for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível, com modo de execução automática. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à Internet, ou até mesmo quando a rede da vítima tem segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente.

O implante malicioso contém todos os módulos necessários para sua operação, incluindo keylogger (gravação do que é digitado) e recurso de monitoramento que captura detalhes de login e informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados. Todos os dados roubados são enviados de forma criptografada para o servidor do atacante .

O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.

“À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras”, diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina. “Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente para atacar alvos em qualquer parte do mundo”, afirma.

Como se proteger

A Kaspersky recomenda as seguintes medidas para se proteger contra spear-phishing e ataques por meio de mídia removível, como USBs.

  • Verificar os anexos de e-mail com um antivírus antes de abrir;
  • Desativar a execução automática de dispositivos USB;
  • Escanear as unidades USB com um antivírus antes de abrir;
  • Não ligar dispositivos desconhecidos e USB ao seu PC;
  • Usar uma antivírus com proteção robusta adicional contra ameaças financeiras.
Com informações da Jeffrey Group
Dicas