Seguridad

Dark Tequila ataca a México desde 2013: Kaspersky Lab

Según la firma, la operación cibernética llamada Dark Tequila ha estado atacando a usuarios en México durante por lo menos los últimos cinco años, robándoles credenciales bancarias y datos personales empleando código malicioso que puede moverse lateralmente a través de las computadoras de las víctimas sin conexión a Internet.

Los investigadores de Kaspersky Lab explicaron que dicho código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing, e incluye funcionalidades para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano.

Asimismo refieren que el malware y su infraestructura de apoyo son avanzados para las operaciones de fraude financiero. La amenaza se centra, principalmente, en robar información financiera, pero una vez dentro de una computadora también sustrae credenciales de otras páginas, incluso sitios web populares, recolectando direcciones corporativas y personales de correo electrónico, cuentas de registros de dominio, de almacenamiento de archivos y más, posiblemente para ser vendidas o usadas en operaciones futuras. Algunos ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.

El malware lleva una carga útil de varias etapas e infecta los dispositivos de usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se auto-elimina del sistema.

Si no encuentra ninguna de estas condiciones, el malware activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que el malware se traslade a través de la red de la víctima, aunque no esté conectada a Internet o incluso cuando la red tiene varios segmentos no conectados entre sí. Cuando se conecta otro USB a la computadora infectada, este se infecta automáticamente y así puede infectar otro objetivo, cuando el mismo USB sea conectado.

El implante malicioso contiene todos los módulos necesarios para su operación, incluyendo un detector de pulsaciones en el teclado y el módulo vigilante en Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de mandos envíe el comando respectivo, nuevos diferentes módulos se instalarán y se activarán. Todos los datos robados de la víctima, se transmiten al servidor del atacante en forma cifrada.

Dark Tequila ha estado activo desde al menos 2013, atacando a usuarios en México o conectados a este país. Según el análisis de Kaspersky Lab, la presencia de palabras en español en el código y la evidencia del conocimiento local del país, sugieren que el actor que se encuentra detrás de esta operación es de América Latina.

Medidas de seguridad

Según el fabricante, sus productos detectan y bloquean con éxito el malware relacionado con Dark Tequila, además aconseja a los usuarios seguir las siguientes medidas para protegerse contra el spear-phishing y los ataques que se realizan utilizando medios extraíbles como las unidades USB:

Para todos:

–Verificar cualquier archivo adjunto de correo electrónico con una solución antimalware antes de abrirlo

–Deshabilitar la ejecución automática desde dispositivos USB

–Verificar las unidades USB con una solución antimalware antes de abrirlas

–No conectar dispositivos y memorias USB desconocidas al dispositivo

–Utilizar una solución de seguridad como Total Security con protección adicional contra amenazas financieras

Las empresas también deben asegurarse de:

–Si no son necesarios para el negocio, bloquear  los puertos USB en los dispositivos

–Administrar el uso de dispositivos USB: definir qué dispositivos USB se pueden usar, por quién y para qué

–Educar a los empleados sobre las prácticas seguras de USB, particularmente si están moviendo el dispositivo entre una computadora hogareña y un dispositivo de trabajo

–No dejar los USB por ahí o en exhibición

 

[email protected]

Publicaciones relacionadas

Botón volver arriba
Share via
Copy link
Powered by Social Snap