Dark Tequila ha estado activo desde 2013 y se dirige a las víctimas en México
Especialistas en ciberseguridad se encuentran siguiendo el rastro una campaña maliciosa en curso centrada en México en la que se una herramienta muy elaborada, construida para robar información financiera y credenciales de inicio de sesión para sitios web populares. La campaña, conocida como Dark Tequila, muestra una infraestructura de apoyo inusualmente sofisticada, especialmente para una campaña de fraude financiero.
“Una carga útil con múltiples etapas llega a la víctima sólo cuando se cumplen ciertas condiciones; evitando la infección cuando las suites de seguridad están instaladas o la muestra se está ejecutando en un entorno de análisis”, mencionaron los expertos en ciberseguridad el martes pasado.
Los investigadores pudieron deducir de la lista de objetivos recuperada de la carga final que la campaña apunta a clientes de varias instituciones bancarias mexicanas. La carga útil contiene comentarios incrustados en el código escrito en español, utilizando palabras regionales que sólo se utilizan en América Latina.
En el año en curso, los investigadores reportaron a diferentes medios que han encontrado alrededor de 30 mil blancos de la campaña, y debido a que no tienen visibilidad completa del problema, el número total de objetivos del ataque debe ser aún mayor.
Este malware recientemente divulgado se ha convertido lentamente en el foco de atención para los investigadores en ciberseguridad.
Según reportes de diversas firmas, la campaña Dark Tequila lleva unos 5 años activa, tiempo en el que se han podido realizar diferentes pruebas, pero sin la posibilidad de obtener una visión global del problema.
Dark Tequila se propaga usando dos vectores de infección ampliamente conocidos: spear-phishing e infección por dispositivo USB, a través de uno de los módulos del malware. Después de que los sistemas de la víctima hayan sido infectados, los diferentes módulos son desencriptados y se activan cuando el servidor de comandos se los indica.
El malware presenta seis módulos, incluido un módulo de vigilancia del servicio responsable de asegurarse de que se está ejecutando correctamente; un ladrón de información que extrae contraseñas guardadas de los navegadores; y un keylogger y el módulo Monitor de Windows, que roba credenciales de sitios de banca en línea, sistemas de reserva de vuelos en línea, Microsoft Office365, Amazon, GoDaddy, entre otros.
El malware también extrae credenciales de inicio de sesión de sitios web que van desde repositorios de código hasta cuentas públicas de almacenamiento de archivos y administradores de dominio. Todos los datos robados se cargan en el servidor en forma cifrada.
Otro de los módulos es responsable de comunicarse con el servidor de comando y control, y de verificar que se esté realizando una verificación de red Man-in-the-Middle (MiTM). Dark Tequila también detecta actividades “sospechosas” en el sistema, como ejecución en máquinas virtuales, para luego ejecutar un módulo de limpieza completa del sistema y eliminar cualquier servicio de persistencia.
Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que la campaña permanece activa, y podría ser desplegada en cualquier parte del mundo, lo que la convierte en una amenaza considerable.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
