Użytkownicy z Meksyku stanowili cel wyrafinowanej cyberoperacji o nazwie Dark Tequila. Była ona prowadzona od co najmniej pięciu lat i była ukierunkowana na kradzież danych uwierzytelniających transakcje bankowe, dane osobowe i firmowe przy użyciu szkodliwego oprogramowania, które potrafi rozprzestrzeniać się w komputerze ofiary bez dostępu do internetu.
Według badaczy z Kaspersky Lab szkodliwy kod rozprzestrzenia się za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych i zawiera funkcje pozwalające uniknąć wykrycia. Osoby tworzące ugrupowanie odpowiedzialne za atak Dark Tequila mówią w języku hiszpańskim i pochodzą z Ameryki Łacińskiej.
Szkodliwe oprogramowanie Dark Tequila i wspierająca je infrastruktura są niezwykle wyrafinowane jak na operację w ramach oszustwa finansowego. Zagrożenie jest skoncentrowane głównie na kradzieży informacji finansowych, jednak po przedostaniu się na komputer przesyła również dane uwierzytelniające dostęp do innych stron, w tym popularnych serwisów internetowych, przechwytując firmowe i prywatne adresy e-mail, konta w serwisach magazynowania plików itd. prawdopodobnie w celu sprzedaży lub wykorzystania w przyszłych operacjach. Przykładem mogą być klienty pocztowe Zimbra oraz strony internetowe Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace i inne.
Szkodliwe oprogramowanie zawiera wielofazową szkodliwą funkcję i jest rozprzestrzeniane do użytkowników za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych. Po przedostaniu się do komputera szkodliwe oprogramowanie nawiązuje kontakt ze swoim serwerem kontroli w celu otrzymania instrukcji. Szkodliwa funkcja zostanie dostarczona ofierze tylko wtedy, gdy zostaną spełnione określone warunki techniczne. Jeżeli szkodliwe oprogramowanie wykryje zainstalowane rozwiązanie bezpieczeństwa, proces monitorowania sieci lub oznaki wskazujące na uruchomienie próbki w systemie przeznaczonym do analizy (np. maszynie wirtualnej), zatrzymuje procedurę infekcji i usuwa się z systemu.
Jeżeli żadne z powyższych działań nie zostanie wykryte, szkodliwe oprogramowanie aktywuje lokalną infekcję i kopiuje plik wykonywalny na dysk przenośny w celu automatycznego uruchomienia. W ten sposób szkodliwe oprogramowanie będzie mogło poruszać się offline w sieci ofiary, nawet jeśli początkowo za pomocą phishingu zainfekowana została tylko jedna maszyna. Gdy do zainfekowanego komputera zostanie podłączone inne urządzenie USB, zostanie ono automatycznie zainfekowane i będzie gotowe do rozprzestrzeniania szkodliwego oprogramowania do innego urządzenia.
Szkodliwy implant zawiera wszystkie moduły niezbędne do działania, w tym narzędzie przechwytujące znaki wprowadzane z klawiatury (tzw. keyloggera) oraz możliwość monitorowania okien w celu przechwytywania danych dot. logowania oraz innych informacji osobowych. Odpowiednio poinstruowane przez serwer kontroli moduły szkodnika przeprowadzają deszyfrację i aktywację. Wszystkie skradzione dane są przesyłane na serwer w formie zaszyfrowanej.
Ugrupowanie Dark Tequila było aktywne od co najmniej 2013 r., atakując użytkowników zlokalizowanych w Meksyku lub związanych z tym państwem. Z analizy Kaspersky Lab wynika, że obecność hiszpańskich słów w kodzie oraz znajomość lokalnych realiów sugerują, że ugrupowanie odpowiedzialne za tę operację pochodzi z Ameryki Łacińskiej.
Na pierwszy rzut oka Dark Tequila przypomina każdego innego trojana bankowego, który poluje na informacje i dane uwierzytelniające w celu uzyskania korzyści finansowych. Jednak głębsza analiza ujawnia złożoność szkodliwego oprogramowania, która nie jest typowa dla zagrożeń tego typu. Modułowa struktura oraz mechanizmy zaciemniania kodu pomagają szkodnikowi uniknąć wykrycia oraz dostarczyć szkodliwą funkcję tylko wtedy, gdy zagrożenie uzna, że jest to bezpieczne. Kampania jest aktywna od kilku lat i wciąż wykrywane są nowe próbki. Jak dotąd zaatakowane zostały jedynie cele zlokalizowane w Meksyku, jednak szkodnik posiada możliwości techniczne pozwalające mu atakować cele w dowolnej części świata – powiedział Dmitrij Bestużew, szef Globalnego Zespołu ds. Badan i Analiz na terytorium Ameryki Łacińskiej, Kaspersky Lab.
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie związane z kampanią Dark Tequila.
Kaspersky Lab zaleca użytkownikom podjęcie następujących działań w celu zapewnienia sobie ochrony przed spersonalizowanym phishingiem oraz atakami za pośrednictwem nośników wymiennych, takich jak urządzenia USB.
Dla wszystkich użytkowników:
- Przed otwarciem załączników e-mail sprawdź je przy użyciu rozwiązania antywirusowego.
- Wyłącz automatyczne uruchamianie aplikacji z urządzeń USB.
- Przed otwarciem jakichkolwiek plików sprawdź urządzenia USB przy użyciu rozwiązania antywirusowego.
- Nie podłączaj nieznanych urządzeń ani pamięci USB do swojego urządzenia.
- Stosuj rozwiązanie bezpieczeństwa z dodatkową niezawodną ochroną przed zagrożeniami finansowymi.
Firmom zaleca się następujące działania:
- Jeśli nie są niezbędne do celów związanych z pracą, należy zablokować porty USB na urządzeniach użytkownika.
- Należy zarządzać wykorzystywaniem urządzeń USB, określając, które z nich mogą być wykorzystywane, przez kogo i w jakim celu.
- Należy przeprowadzić szkolenie dla pracowników w zakresie bezpiecznych praktyk korzystania z urządzeń USB – szczególnie gdy urządzenie jest przenoszone pomiędzy komputerem domowym a urządzeniem firmowym.
- Nie należy zostawiać urządzeń USB na widoku.