Dal 2013 una sofisticata cyber operazione chiamata Dark Tequila ha preso di mira diversi utenti messicani rubando credenziali bancarie, dati personali e aziendali con malware in grado di spostarsi lateralmente attraverso il computer vittima mentre è offline. Secondo i ricercatori di Kaspersky Lab il codice dannoso si diffonde attraverso dispositivi USB infetti e e-mail di spear-phishing e include funzionalità che ne eludono il rilevamento. L'autore delle minacce nascosto dietro Dark Tequila si pensa sia di lingua spagnola e abbia origini latinoamericane.
Il malware Dark Tequila e la sua infrastruttura di supporto sono ottimizzate per le operazioni di frode finanziaria. La minaccia si concentra principalmente sul furto di informazioni finanziarie, ma una volta all'interno di un computer trasferisce anche le credenziali ad altri siti, inclusi siti web popolari, raccolte di indirizzi e-mail personali e di lavoro, registri di domini, account di archiviazione di file che possano essere venduti o utilizzati nelle operazioni future. Gli esempi includono i client di posta elettronica Zimbra e siti come Bitbucket, Amazon, GoDaddy, Network Solution, Dropbox, RackSpace e molti altri.
Il malware esegue un payload multi-stage e viene distribuito agli utenti tramite dispositivi USB infetti e e-mail di spear-phishing. Una volta all'interno di un computer, il malware entra in contatto con il suo server di comando per ricevere istruzioni. Il payload viene inviato alla vittima solo quando vengono soddisfatte determinate condizioni tecniche della rete: se il malware rileva una soluzione di sicurezza installata, un'attività di monitoraggio della rete o segnala che il campione è eseguito in un ambiente di analisi, come una sandbox virtuale, interrompe la routine di infezione e si cancella dal sistema.
Se nessuna di queste attività viene rilevata, il malware attiva l'infezione locale e copia un file eseguibile su un'unità rimovibile da eseguire automaticamente. Ciò consente al malware di spostarsi offline attraverso la rete della vittima, anche quando un solo computer è stato inizialmente compromesso tramite spear-phishing. Quando un'altra USB viene collegata al computer infetto, diventa automaticamente infetta e pronta a diffondere il malware a sua volta.
La struttura malevola contiene tutti i moduli necessari per l'operazione, tra cui un key-logger e funzionalità di monitoraggio delle finestre per l'acquisizione delle credenziali di accesso e altre informazioni personali. Quando viene richiesto dal server di comando i diversi moduli vengono decrittografati e attivati e così tutti i dati rubati vengono caricati sul server in forma crittografata.
Dark Tequila è attivo dal 2013 e ha preso di mira utenti messicani o collegati a questo paese. Sulla base delle analisi condotte da Kaspersky Lab infatti, la presenza di parole spagnole nel codice e prove di conoscenze specifiche di quelle zone suggeriscono che l'autore delle minacce provenga dall'America Latina.
"A prima vista, Dark Tequila assomiglia ad un qualsiasi altro trojan bancario, a caccia di informazioni e credenziali per ottenere un guadagno finanziario, ma un'analisi più approfondita, ne rivela una complessità che non si riscontra spesso nelle minacce finanziarie. La struttura modulare del codice e i suoi meccanismi di occultamento e rilevamento contribuiscono a renderne difficile la scoperta e ad eseguire il suo payload dannoso solo quando il malware decide sia sicuro farlo. Questa campagna è attiva da diversi anni e nuovi campioni vengono ancora trovati. Fino ad oggi ha attaccato solo obiettivi in Messico, ma la sua capacità tecnica è tale da poter attaccare obiettivi in qualsiasi parte del mondo” ha dichiarato Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America, di Kaspersky Lab.
I prodotti Kaspersky Lab sono in grado di rilevare e bloccare il malware correlato a Dark Tequila. Kaspersky Lab consiglia agli utenti di adottare le seguenti misure per proteggersi dallo spear-phishing e dagli attacchi tramite supporti rimovibili come USB:
Per tutti gli utenti:
- Prima di aprire un allegato è opportuno controllarlo con soluzioni anti-virus;
- Disabilitare funzionalità automatiche dai dispositivi USB;
- Controllare le unità USB con soluzioni anti-virus prima dell’apertura di eventuali documenti contenuti;
- Non collegare dispositivi sconosciuti e chiavette USB al vostro dispositivo;
- Utilizzare una soluzione di sicurezza con un'ulteriore protezione efficace contro le minacce finanziarie.
Le aziende sono inoltre invitate ad assicurarsi che:
- Le porte USB sui dispositivi dell'utente siano bloccate se non sono richieste per attività aziendali;
- Venga regolamentato l'uso di dispositivi USB: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa;
- I dipendenti vengano istruiti su pratiche sicure d’utilizzo delle USB, in particolare se spostano il dispositivo da un computer personale ad un dispositivo di lavoro;
- Non vengano lasciate USB in giro o sul display.
Per ulteriori informazioni su Dark Tequila, tra cui gli Indicator of Compromise, è possibile leggere il blog su Securelist.