Dark Tequila, el malware descubierto cinco años después
- Vulnerabilidades
Investigadores de Kaspersky descubren una sofisticada amenaza que han bautizado como Dark Tequila y que ha estado activa al menos desde 2013, principalmente en México.
|
También puedes leer... |
Dark Tequila es una campaña de malware complejo dirigido principalmente contra usuarios mexicanos con el objetivo principal de robar información financiera, así como credenciales de acceso a sitios web populares que van desde repositorios de versiones de código hasta cuentas públicas de almacenamiento de archivos y registradores de dominios.
Descubierto ahora por investigadores de Kaspersky, el malware lleva activo desde al menos 2013 y no había sido descubierto debido a que sus objetivos son muy concretos y a unas cuantas técnicas de evasión utilizadas.
El malware llega a los ordenadores de las víctimas a través de campañas de phishing o dispositivos USB infectados. Una vez ejecutado y sólo cuando se cumplen ciertas condiciones, como que el ordenador no cuenta con ningún antivirus o suite de seguridad instaladas, se activa la carga en varias etapas. Como explica Kaspersky en un post, el actor detrás de la amenaza supervisa y controla estrictamente todas las operaciones; además, si hay una infección casual, o la víctima no es de interés, el malware se desinstala de forma remota desde la máquina de la víctima, dicen los investigadores.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.
“El malware Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para una operación de fraude financiero. El implante malicioso contiene todos los módulos necesarios para la operación y, cuando se lo indique el servidor de comando, diferentes módulos se descifrarán y activarán. Todos los datos robados se cargan en el servidor en forma cifrada”, asegura la compañía.
Dark Tequila incluye varios módulos:
1. C&C – Esta parte del malware es responsable de las comunicaciones con el ciberdelincuentes y de monitorizar ataques man-in-the-middle para defenderse contra análisis de malware.
2. CleanUp – En caso de detectar alguna actividad sospechosa que pueda llevar a sui detección, el malware ejecuta una limpieza del sistema, eliminando el servicios además de toda evidencia forense de su presencia.
3. Keylogger – Este módulo está diseñado para robar credenciales de una larga lista de sitios de banca online, así como sistemas de reserva de vuelos, Microsoft Office365, clientes de Lotus Notes, correos electrónicos de Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace y otros servicios.
4. Information Stealer – Este módulo es capaz de extraer contraseñas almacenadas de clientes FTP y de email, además de navegadores.
5. USB Infector – Copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que el malware se mueva fuera de línea a través de la red de la víctima, incluso cuando solo una máquina se vio comprometida inicialmente a través de spear-phishing. Cuando se conecta otro USB a la computadora infectada, automáticamente se infecta y está listo para propagar el malware a otro objetivo.
6. Service Watchdog – Este módulo es responsable de asegurar que el malware se esté ejecutando correctamente.
Los investigadores de Kasopersky dicen que Dark Tequila está activo y puede ser desplegado en cualquier parte del mundo para atacar cualquier objetivo.
