CIDADE DO PANAMÁ – Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. A campanha foi revelada durante a Semana de Cibersegurança, que acontece aqui no Panamá.
Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.
O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais de outros sites, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras.
O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema.
Se nada for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível, com modo de execução automática. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à Internet, ou até mesmo quando a rede da vítima tem segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente.
O implante malicioso contém todos os módulos necessários para sua operação, incluindo keylogger (gravação do que é digitado) e recurso de monitoramento que captura detalhes de login e informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados. Todos os dados roubados são enviados de forma criptografada para o servidor do atacante .
O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.
“À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras”, diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina. “Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente para atacar alvos em qualquer parte do mundo”, afirma.
Como se proteger
A Kaspersky recomenda as seguintes medidas para se proteger contra spear-phishing e ataques por meio de mídia removível, como USBs.
- Verificar os anexos de e-mail com um antivírus antes de abrir;
- Desativar a execução automática de dispositivos USB;
- Escanear as unidades USB com um antivírus antes de abrir;
- Não ligar dispositivos desconhecidos e USB ao seu PC;
- Usar uma antivírus com proteção robusta adicional contra ameaças financeiras.