A campanha foi revelada durante a Semana de Cibersegurança, ocorrida no Panamá.
Pesquisadores de segurança da Kaspersky Labs descobriram uma nova e complexa campanha de malware que atingiu clientes de várias instituições bancárias mexicanas, ao que tudo indica, desde 2013.
Apelidado de Dark Tequila, a campanha oferece um avançado keylogger capaz de ficar fora do radar por cinco anos, devido à sua natureza altamente direcionada e algumas técnicas de evasão.
O Dark Tequila foi projetado principalmente para furtar informações financeiras das vítimas a partir de uma longa lista de sites de internet banking, bem como as credenciais de acesso para sites populares.
A lista de sites inclui Cpanels, Plesk, sistemas de reservas online, Microsoft Office 365, clientes IBM Lotus Notes, email Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace e outros serviços.
Segundo os pesquisadores da Kaspersky Lab, o código malicioso se dissemina por meio de dispositivos USB infectados e técnicas de spear-phishing.
Além disso, o malware possui funcionalidades especiais para evitar a detecção. Acredita-se que o ator de ameaça por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.
O código malicioso quando executado infecta o computador da vítima somente após determinadas condições terem sido atendidas, como verificar se o computador tem alguma solução de segurança instalada.
Caso haja alguma infecção que não seja no México e nem do interesse dos criminosos, o malware é remotamente desinstalado da máquina da vítima. O agente de ameaça por trás dele monitora e controla rigorosamente todas as operações.
O malware Dark Tequila inclui basicamente 6 módulos principais, como segue:
- C&C – Neste módulo, o malware gerencia a comunicação entre o computador infectado e o servidor de comando e controle (C&C). Também é responsável por monitorar ataques man-in-the-middle para se defender contra a análise de malware.
- CleanUp – Ao executar técnicas de evasão, se o malware detectar qualquer atividade suspeita – como sinais de que a amostra é executada em um ambiente de análise (sandbox) – ele executa uma limpeza completa do sistema infectado.
- Keylogger – Este módulo é projetado para monitorar o sistema e registra as teclas digitadas para furtar credenciais de acesso a partir de uma lista de sites, tanto de bancos como outros sites populares.
- Stealer de Informações – Este módulo extrai senhas senhas salvas de clientes de e-mail e FTP, assim como navegadores.
- USB Infector – Este módulo replica e infecta computadores adicionais através de drives USB. Ele copia um arquivo executável para uma unidade removível que é executada automaticamente quando conectado a outros sistemas.
- Watchdog do Serviço – Este módulo é responsável por garantir que o malware esteja funcionando corretamente.
Medidas de proteção
- Para se proteger recomenda-se sempre estar atento a e-mails suspeitos.
- Mantenha uma boa solução antivírus instalada.
- Evite conectar dispositivos removíveis e pendrives não confiáveis ao seu computador.
- Desabilite a execução automática em dispositivos USB.