Dark Tequila, el malware que podría robar tus claves bancarias

Dark Tequila es un código malicioso que se propaga a través de dispositivos USB infectados y spear-phishing, e incluye funciones especiales para evadir la detección.

Según informa la firma de seguridad cibernética Kaspersky Lab, este malware ha estado atacando a usuarios en México durante los últimos cinco años y les ha estado robando credenciales bancarias y datos personales mediante un código malicioso que se puede mover en computadoras sin conexión a Internet.

La amenaza centra su tarea en robar información financiera, pero una vez dentro de una computadora es capaz de sustraer credenciales de otros sitios, incluso de webs populares, direcciones comerciales y personales de correo electrónico, registros de dominio, para ser vendidos o usados en operaciones futuras.

Algunos ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.

Este malware infecta los dispositivos de usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el software malicioso se comunica con su servidor de mandos para recibir instrucciones.

“La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se auto-elimina del sistema”, señala el comunicado de la compañía.

Si el código malicioso no encuentra ninguna de estas condiciones, activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente, permitiendo que el malware se traslade a través de la red de la víctima, aunque no esté conectada a Internet o incluso cuando la red tiene varios segmentos no conectados entre sí.

“Cuando se conecta otro USB a la computadora infectada, éste se infecta automáticamente y así puede infectar otro objetivo, cuando este USB sea conectado allí”, dice la misiva. 

Dark Tequila ha estado activo desde 2013, atacando a usuarios en México o conectados a ese país. Según el análisis de Kaspersky Lab, la presencia de palabras en español en el código y la evidencia del conocimiento local del país, sugieren que el actor que se encuentra detrás de esta operación es de América Latina.

“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca información y credenciales para obtener ganancias financieras. Sin embargo, un análisis más profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras”, dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina, Kaspersky Lab.

Kaspersky Lab aconseja a seguir las siguientes medidas para protegerse contra el spear-phishing y los ataques que se realizan utilizando medios extraíbles como las unidades USB:

Para todos los usuarios

- Verificar cualquier archivo adjunto de correo electrónico con una solución antimalware antes de abrirlo.

- Deshabilitar la ejecución automática desde los dispositivos USB.

- Verificar los USB con una solución antimalware antes de abrirlos.

- No conectar dispositivos ni memorias USB desconocidas.

- Utilice una solución de seguridad con protección adicional contra    amenazas financieras.

Para las empresas

- Bloquee los puertos USB en los dispositivos del usuario, si no son necesarios para los negocios.

- Administre el uso de dispositivos USB.

- Eduque a sus colaboradores sobre las prácticas seguras de USB.

- Cuide el lugar donde deja los USB