El programa malicioso tiene la capacidad de operar aun sin una conexión a internet, lo que eleva las posibilidades de infección en otros dispositivos.
17/08/18 | Por Noticias TNE
Durante los últimos cinco años ha estado en operación una amenaza cibernética en México que ha puesto en riesgo las credenciales bancarias y los datos personales. Dark Tequila se mueve mediante un código malicioso a través de las computadoras y no requiere de una conexión a internet, así lo asegura una investigación realizada por Kaskpersky Lab.
De acuerdo al estudio, el malware se esparce a través de dispositivos USB infectados y del spear phishing, además cuenta con funciones que le permiten pasar inadvertido.
“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca información y credenciales para obtener ganancias financieras”, comentó Dmitry Bestuzhev, jefe de Equipo Global de Investigación y Análisis, América Latina en Kaspersky Lab. “Sin embargo, un análisis más profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras”.
Dark Tequila y su infraestructura inusualmente están a la vanguardia de las operaciones de fraude financiero. La amenaza está enfocada en robar datos de esta índole, pero una vez que se encuentra al interior de la computadora también recolecta credenciales de otros sitios, recabando direcciones comerciales y personales de email, así como cuentas de registro de dominio y de almacenamiento de archivos, entre otros datos, con la intención de ser vendidos o utilizados en futuras operaciones.
“La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar ser descubierto y a entregar su carga maliciosa sólo cuando la víctima sea reconocida y aprobada por el atacante”, agregó Bestuzhev.
El malware trabaja en varias etapas. Primero lleva la carga útil e infecta a los dispositivos de los usuarios mediante USB y correos electrónicos de phishing. Posteriormente, una vez dentro del ordenador, se comunica con los atacantes para recibir instrucciones, por lo que la carga se entrega únicamente cuando se cumplen determinadas condiciones; si el programa maliciosos detecta que hay una herramienta de seguridad instalada, detiene la agresión y se autodestruye.
Si no detecta peligro, Dark Tequila activa su plan de ataque y copia un archivo ejecutable en una unidad externa para que se ponga en acción de manera automática, abriendo la posibilidad de que se esparza a través de la red de la víctima, incluso si está segmentada, y sin la necesidad de una conexión a Internet.
El malware cuenta con todos los módulos necesarios para operar, incluido un detector de pulsaciones en el teclado, así como otro en Windows que permite capturar los datos de inicio de sesión e información personal; una vez obtenida dicha información, es encriptada y enviada a los servidores de los ciberdelincuentes.
“Esta campaña ha estado activa durante varios años y todavía se siguen encontrando nuevas muestras”, añadió Bestuzhev. “Hasta la fecha, sólo ha realizado ataques en México, pero su capacidad técnica es adecuada para objetivos en cualquier parte del mundo”.
Dark Tequila lleva en operación desde el 2013 y de acuerdo a los investigadores, se cree que su desarrollador es de América Latina, pues dentro del código del malware hay palabras en español, además se refleja un gran conocimiento del país.
La firma de seguridad sugiere a los usuarios verificar archivos adjuntos con herramientas antimalware; deshabilitar la ejecución automática de dispositivos USB, verificar estas unidades antes de abrir archivos y no conectarlas a la computadora si no son de confianza.
Te puede interesar también:
“Empresas renuentes a implementar esquemas de ciberseguridad”
“Ciberseguridad, cuando la tentación es más fuerte que la obligación”
