Dark Tequila: malware bancário que está atacar a América Latina

Uma sofisticada ciberoperação com o nome de código Dark Tequila tem atacado utilizadores no México nos últimos cinco anos, ao roubar credenciais bancárias, pessoais e dados corporativos através de um malware que pode movimentar-se através do computador da vítima, mesmo sem estar conectado. De acordo com os investigadores do laboratório da Kaspersky, o código malicioso espalha-se através de dispositivos USB infetados e de spear phishing, tendo recursos para evitar a deteção. Acredita-se que o agente principal da ameaça por detrás da Dark Tequila fale espanhol e tenha origem latino-americana.

O malware Dark Tequila e a sua infraestrutura de suporte são invulgarmente sofisticadas para operações de fraude financeira. A ameaça está focada principalmente em roubar informações financeiras, mas uma vez dentro de um computador, também desvia credenciais para outros sites, incluindo sites populares, extrai endereços de email profissionais e pessoais, domínios registados, contas de armazenamento de arquivos, possivelmente para serem vendidos ou utilizados em futuras operações. Os exemplos incluem emails de clientes da Zimbra e sites como Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, entre outros.

Malware

O malware carrega uma carga útil em diversos estágios e é distribuído aos utilizadores através de dispositivos USB infetados e emails de spear phishing. Uma vez dentro do computador, o malware faz contacto com o servidor no comando por forma a receber instruções. A carga útil é entregue à vítima apenas quando determinadas condições técnicas da rede são atendidas. Se o malware detetar uma solução de segurança instalada, atividade de monitorização de rede ou sinais de que a amostra é executada num ambiente de análise, ele interrompe a infeção e apaga-se do sistema.

Se nenhum dos referidos é detetado, o malware ativa o local da infeção e copia um arquivo executável para uma unidade removível, de forma a ser executado automaticamente. Isto permite que o malware se mova em modo offline pela rede das vítimas, mesmo até quando apenas uma máquina foi comprometida através de spear phishing. Quando outro dispositivo USB é conectado no computador infetado, automaticamente fica infetado e está pronto para espalhar o malware para outros alvos.

O implante malicioso contém todos os módulos requeridos para a operação, incluindo um keylogger e a capacidade de monitorização para capturar detalhes de login e outras informações pessoais. Quando instruído a fazê-lo pelo servidor no comando, diferentes módulos são descodificados e ativados. Todos os dados roubados são enviados para o servidor de forma encriptada.

Dark Tequila tem estado ativa pelo menos desde 2013, tendo como alvo utilizadores no México ou que estejam conectados ao país. Com base na análise dos laboratórios Kaspersky, a presença de palavras espanholas no código e evidências de conhecimento local sugerem que o agente da ameaça por detrás da operação é da América Latina.

Os Laboratórios Kaspersky aconselham os utilizadores a seguir as seguintes medidas para se protegerem contra o spear phishing e os ataques que sucedem através de dispositivos removíveis como as USBs.

Para todos:

  • Verifique todos os anexos do email com um antivírus antes de abrir;
  • Desative a execução automática de dispositivos USB;
  • Verifique as unidades USB com o antivírus antes de abrir;
  • Não ligue dispositivos desconhecidos e dispositivos USB ao seu dispositivo;
  • Utilize uma solução de segurança com proteção adicional contra ameaças financeiras.

As empresas são também aconselhadas a:

  • Se não forem necessários para os negócios, bloqueie as portas USB nos dispositivos do utilizador;
  • Controle o uso de dispositivos USB: defina que dispositivos podem ser utilizados, por quem e para que fins;
  • Eduque os colaboradores para práticas de segurança USBs – especialmente se estão a utilizar o dispositivo entre um computador doméstico e um dispositivo de trabalho;
  • Não deixe os USBs espalhados ou em exibição.