2018-8-23
O malware Dark Tequila e a sua infraestrutura de suporte são invulgarmente sofisticadas para operações de fraude financeira. De acordo com os investigadores do laboratório da Kaspersky, o código malicioso espalha-se através de dispositivos USB infetados e de spear phishing, tendo recursos para evitar a deteção.
|
Uma sofisticada ciberoperação com o nome de código Dark Tequila tem atacado utilizadores no México nos últimos cinco anos, ao roubar credenciais bancárias, pessoais e dados corporativos através de um malware que pode movimentar-se através do computador da vítima, mesmo sem estar conetado. Segundo a Kaspersly, a ameaça está focada principalmente em roubar informações financeiras. Porém, uma vez dentro de um computador, também desvia credenciais para outros sites, incluindo sites populares, extraindo endereços de e-mail profissionais e pessoais, domínios registados, contas de armazenamento de arquivos, possivelmente para serem vendidos ou utilizados em futuras operações. Os exemplos incluem emails de clientes da Zimbra e sites como Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, entre outros. O malware carrega uma carga útil em diversos estágios e é distribuído aos utilizadores através de dispositivos USB infetados e e-mails de spear phishing. Uma vez dentro do computador, o malware faz contacto com o servidor por forma a receber instruções. A carga útil é entregue à vítima apenas quando determinadas condições técnicas da rede são atendidas. Se o malware detetar uma solução de segurança instalada, atividade de monitorização de rede ou sinais de que a amostra é executada num ambiente de análise, ele interrompe a infeção e apaga-se do sistema. Se nenhum dos referidos é detetado, o malware ativa o local da infeção e copia um arquivo executável para uma unidade removível, de forma a ser executado automaticamente. Isto permite que o malware se mova em modo offline pela rede das vítimas, mesmo até quando apenas uma máquina foi comprometida através de spear phishing. Quando outro dispositivo USB é conectado no computador infetado, automaticamente fica infetado e está pronto para espalhar o malware para outros alvos. O implante malicioso contém todos os módulos requeridos para a operação, incluindo um keylogger e a capacidade de monitorização para capturar detalhes de login e outras informações pessoais. Quando instruído a fazê-lo pelo servidor no comando, diferentes módulos são descodificados e ativados. Todos os dados roubados são enviados para o servidor de forma encriptada. Os Laboratórios Kaspersky aconselham os utilizadores a verificar todos os anexos do e-mail com um antivírus antes de abrir e a desativar a execução automática de dispositivos USB. Do lado das empresas, importa bloquear as portas USB nos dispositivos do utilizador, se não forem necessários para os negócios; definir que dispositivos podem ser utilizados, por quem e para que fins; educar os colaboradores para práticas de segurança USB. |
