Campanha Dark Tequila ficou oculta durante 5 anos

A campanha foi revelada durante a Semana de Cibersegurança, ocorrida no Panamá.

Pesquisadores de segurança da Kaspersky Labs descobriram uma nova e complexa campanha de malware que atingiu clientes de várias instituições bancárias mexicanas, ao que tudo indica, desde 2013.

Apelidado de Dark Tequila, a campanha oferece um avançado keylogger capaz de ficar fora do radar por cinco anos, devido à sua natureza altamente direcionada e algumas técnicas de evasão.

O Dark Tequila foi projetado principalmente para furtar informações financeiras das vítimas a partir de uma longa lista de sites de internet banking, bem como as credenciais de acesso para sites populares.

A lista de sites inclui Cpanels, Plesk, sistemas de reservas online, Microsoft Office 365, clientes IBM Lotus Notes, email Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace e outros serviços.

Segundo os pesquisadores da Kaspersky Lab, o código malicioso se dissemina por meio de dispositivos USB infectados e técnicas de spear-phishing.

Além disso, o malware possui funcionalidades especiais para evitar a detecção. Acredita-se que o ator de ameaça por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.

O código malicioso quando executado infecta o computador da vítima somente após determinadas condições terem sido atendidas, como verificar se o computador tem alguma solução de segurança instalada.

Caso haja alguma infecção que não seja no México e nem do interesse dos criminosos, o malware é remotamente desinstalado da máquina da vítima. O agente de ameaça por trás dele monitora e controla rigorosamente todas as operações.

O malware Dark Tequila inclui basicamente 6 módulos principais, como segue:

1. C&C – Neste módulo, o malware gerencia a comunicação entre o computador infectado e o servidor de comando e controle (C&C). Também é responsável por monitorar ataques man-in-the-middle para se defender contra a análise de malware.
2. CleanUp – Ao executar técnicas de evasão, se o malware detectar qualquer atividade suspeita – como sinais de que a amostra é executada em um ambiente de análise (sandbox) – ele executa uma limpeza completa do sistema infectado.
3. Keylogger – Este módulo é projetado para monitorar o sistema e registra as teclas digitadas para furtar credenciais de acesso a partir de uma lista de sites, tanto de bancos como outros sites populares.
4. Stealer de Informações – Este módulo extrai senhas senhas salvas de clientes de e-mail e FTP, assim como navegadores.
5. USB Infector – Este módulo replica e infecta computadores adicionais através de drives USB. Ele copia um arquivo executável para uma unidade removível que é executada automaticamente quando conectado a outros sistemas.
6. Watchdog do Serviço – Este módulo é responsável por garantir que o malware esteja funcionando corretamente.

Medidas de proteção

• Para se proteger recomenda-se sempre estar atento a e-mails suspeitos.
• Mantenha uma boa solução antivírus instalada.
• Evite conectar dispositivos removíveis e pendrives não confiáveis ​​ao seu computador.
• Desabilite a execução automática em dispositivos USB.