fechar× Entre em contato (71) 3480-8130
fechar×
  • Home
  • Matérias
  • Dark Tequila: campanha de malware bancário complexo que ataca a América Latina desde 2013

Matérias

Dark Tequila: campanha de malware bancário complexo que ataca a América Latina desde 2013

Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e com origem latino-americana.

A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais para outros sites, incluindo aqueles populares, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras. Os exemplos incluem os usuários do correio eletrônico Zimbra e os sites Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace e outros.
 
O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails de phishing. Uma vez dentro de um computador, o malware se comunica com seu servidor de comando para receber instruções. O payload é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, a atividade de monitoramento de rede ou sinais de que a amostra é executada em um ambiente de análise, como uma sandbox, ela interromperá a rotina de infecção e se excluirá do sistema.
 
Se nada disso for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível para ser executado automaticamente. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à internet, ou até mesmo quando a rede da vítima possua vários segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente e poderá infectar a outro alvo, assim que seja conectado outro dispositivo USB.
 
O implante malicioso contém todos os módulos necessários para sua operação, incluindo um keylogger e um recurso de monitoramento que captura detalhes de login e outras informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados pelo malware. Todos os dados roubados são enviados para o servidor do atacante de forma criptografada.
 
O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.
 
"À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras. A estrutura modular do código e seus mecanismos de detecção e ofuscação ajudam a evitar a descoberta e entregar seu payload malicioso somente quando a vítima é reconhecida e aprovada pelo atacante. Esta campanha está ativa há vários anos e novas amostras ainda estão sendo encontradas. Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente o bastante para atacar alvos em qualquer parte do mundo", diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina.
 
Os produtos da Kaspersky Lab detectam e bloqueiam malware relacionados ao Dark Tequila.
 
A Kaspersky Lab recomenda que os usuários tomem as seguintes medidas para se proteger contraspear-phishing e ataques por meio de mídia removível, como USBs.
 
Todos os usuários precisam:
- Verificar todos os anexos de e-mail com a segurança de um antivírus antes de abrir;
- Desativar a execução automática de dispositivos USB;
- Verificar as unidades USB com a segurança de antivírus antes de abrir;
- Não ligar dispositivos desconhecidos e USB ao seu dispositivo;
- Usar uma solução de segurança com proteção robusta adicional contra ameaças financeiras.
 
As empresas também são aconselhadas a garantir que:
- Se os USBs não forem necessários para os negócios, bloqueie as portas de entrada nos dispositivos;
- Gerenciar o uso de dispositivos USB: definir quais dispositivos USB podem ser usados, por quem e por qual motivo;
- Educar os funcionários sobre práticas seguras de USB – especialmente se estiverem movendo o dispositivo entre um computador doméstico e um dispositivo de trabalho;
- Não deixarem USBs espalhados ou em exibição. Leia a revista

Carregando...