México.- La firma de seguridad cibernética karspersky dio a conocer una compleja operación cibernética llamada “Dark Tequila” , la cual ha estado atacando a usuarios en México durante por lo menos los últimos cinco años, y les ha robado credenciales bancarias y datos personales empleando un código malicioso.
Según la empresa, la operación de este software malicioso tiene la particularidad de moverse lateralmente a través de las computadoras de las víctimas sin conexión a Internet .
“Según los investigadores de Kaspersky Lab , el código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing , e incluye funcionalidades especiales para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano”, explicó la empresa.
En su estudio, K arsperky destacó que el malware Dark Tequila y su infraestructura de apoyo son inusualmente avanzados para las operaciones de fraude financiero .
“La amenaza se centra, principalmente, en robar información financiera , pero una vez dentro de una computadora también sustrae credenciales de otras páginas, incluso sitios web populares, recolectando direcciones corporativas y personales de correo electrónico , cuentas de registros de dominio , de almacenamiento de archivos y más, posiblemente para ser vendidas o usadas en operaciones futuras ”; dijo.
Así, algunos ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios Bitbucket, Amazon , GoDaddy, Network Solutions , Dropbox , RackSpace, y otros.
Karsperky
detalló que el malware lleva una carga útil de varias etapas e infecta los dispositivos de usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora , el malware se comunica con su servidor de mandos para recibir instrucciones .
“La carga útil se entrega a la víctima sólo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada , monitoreo de red o signos de que la muestra se ejecuta en un entorno de análisis, detiene su rutina de infección y se auto-elimina del sistema ”, detalló.
Así, si el código malicioso no encuentra ninguna de estas condiciones, el malware activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente .
“Esto permite que el malware se traslade a través de la red de la víctima, aunque no esté conectada a Interne t o incluso cuando la red tiene varios segmentos no conectados entre sí. Cuando se conecta otro USB a la computadora infectada, este se infecta automáticamente y así puede infectar otro objetivo , cuando el mismo USB sea conectado”, añadió.
vcr