CIDADE DO PANAMÁ – Uma sofisticada operação cibernética chamada Dark Tequila tem atacado usuários no México durante pelo menos os últimos cinco anos, roubando credenciais bancárias e dados pessoais ao utilizar um código malicioso que pode se mover lateralmente por meio do computador da vítima, mesmo estando sem conexão à internet. A campanha foi revelada durante a Semana de Cibersegurança, que acontece aqui no Panamá.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_OFubslbhHFBqagNO0mFJ2f9SBecmqAyYuuxPZ9hyphenhyphenzPgPq3mHfeQscn0_l8Ij9F5RKeR4gi-tv7bAM6s27lan45b1oFMumivSa8gKzrKYYbKASSnyBtTCkN_UMJ1N5QCx-NzUMDGzu0s/s320/Captura-de-Tela-2018-08-14-a%25CC%2580s-10.50.43.png)
Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.
O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais de outros sites, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras.
O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbZagJ0s99CWPvDEaZ4bjBtSV1ctdFnk9l9c0lBIZrJLPA-FdZmJJFws_dBlCjm9DC2twQaLPzZnkubvENtOVmolChV9xEJ0pVPA72h6yjJr6g7m61RBQkUhYCN-AOWBBYpgvQHPwtoWs/s320/Captura-de-Tela-2018-08-14-a%25CC%2580s-10.57.36.png)
Se nada for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível, com modo de execução automática. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à Internet, ou até mesmo quando a rede da vítima tem segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente.
O implante malicioso contém todos os módulos necessários para sua operação, incluindo keylogger (gravação do que é digitado) e recurso de monitoramento que captura detalhes de login e informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados. Todos os dados roubados são enviados de forma criptografada para o servidor do atacante .
O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.
“À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras”, diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina. “Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente para atacar alvos em qualquer parte do mundo”, afirma.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_OFubslbhHFBqagNO0mFJ2f9SBecmqAyYuuxPZ9hyphenhyphenzPgPq3mHfeQscn0_l8Ij9F5RKeR4gi-tv7bAM6s27lan45b1oFMumivSa8gKzrKYYbKASSnyBtTCkN_UMJ1N5QCx-NzUMDGzu0s/s320/Captura-de-Tela-2018-08-14-a%25CC%2580s-10.50.43.png)
Segundo os pesquisadores da Kaspersky Lab, o código malicioso se espalha por meio de dispositivos USB infectados e spear-phishing, além de possuir funcionalidades especiais para evitar a detecção. Acredita-se que o ator por trás do Dark Tequila seja de língua espanhola e de origem latino-americana.
O malware Dark Tequila e sua infraestrutura são incomumente sofisticados para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas, uma vez dentro de um computador, também extrai credenciais de outros sites, coleta de endereços de e-mail pessoais e comerciais, contas de registros de domínios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em operações futuras.
O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbZagJ0s99CWPvDEaZ4bjBtSV1ctdFnk9l9c0lBIZrJLPA-FdZmJJFws_dBlCjm9DC2twQaLPzZnkubvENtOVmolChV9xEJ0pVPA72h6yjJr6g7m61RBQkUhYCN-AOWBBYpgvQHPwtoWs/s320/Captura-de-Tela-2018-08-14-a%25CC%2580s-10.57.36.png)
Se nada for encontrado, o malware ativa a infecção e copia um arquivo executável para a unidade removível, com modo de execução automática. Isso permite que o malware se mova pela rede da vítima mesmo não estando conectado à Internet, ou até mesmo quando a rede da vítima tem segmentos não conectados entre si. Quando outro USB é conectado ao computador infectado, ele se infecta automaticamente.
O implante malicioso contém todos os módulos necessários para sua operação, incluindo keylogger (gravação do que é digitado) e recurso de monitoramento que captura detalhes de login e informações pessoais. Assim que o servidor envia um comando específico, novos módulos são instalados e ativados. Todos os dados roubados são enviados de forma criptografada para o servidor do atacante .
O Dark Tequila está ativo desde pelo menos 2013, visando usuários no México ou, de certa forma, conectado a esse país. Com base na análise da Kaspersky Lab, a presença de palavras em espanhol no código e a evidência de conhecimento local sugerem que o ator por trás da operação é da América Latina.
“À primeira vista, o Dark Tequila se parece com qualquer outro Trojan bancário, buscando informações e credenciais para obter ganhos financeiros. Uma análise mais profunda, no entanto, revela uma complexidade neste malware que não é vista com frequência em ameaças financeiras”, diz Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e Análise da Kaspersky Lab para América Latina. “Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é suficiente para atacar alvos em qualquer parte do mundo”, afirma.
Como se proteger
A Kaspersky recomenda as seguintes medidas para se proteger contra spear-phishing e ataques por meio de mídia removível, como USBs.- Verificar os anexos de e-mail com um antivírus antes de abrir;
- Desativar a execução automática de dispositivos USB;
- Escanear as unidades USB com um antivírus antes de abrir;
- Não ligar dispositivos desconhecidos e USB ao seu PC;
- Usar uma antivírus com proteção robusta adicional contra ameaças financeiras.
Nenhum comentário:
Postar um comentário