Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.
Su carga maliciosa de varias etapas es utilizada en la víctima solamente cuando ciertas condiciones son dadas, evitar la infección cuando ciertas suites de seguridad se encuentran instaladas o la muestra es ejecutada dentro de un entorno de análisis. De la lista de objetivos recuperada de las muestras, esta campaña en particular se enfoca en clientes de varias entidades bancarias de México y contiene algunos comentarios embebidos en el código escritos en idioma español, utilizando palabras muy comunes para América Latina y no España.
La mayoría de las víctimas se encuentran ubicadas en México. La campaña se encuentra activa por lo menos desde el 2013, así que estamos hablando de un producto bastante “añejo” o maduro. Hay dos vectores de infección conocidos, uno es el tradicional spear-phishing y el otro es a través de dispositivos USB.
El grupo responsable de este ataque monitorea estrictamente y controla todas sus operaciones. Si hay una infección casual, que se da fuera de México o en un blanco que no es de interés, el malware es desinstalado remotamente del equipo de la víctima.
El malware de Dark Tequila y la infraestructura que lo soporta son inusualmente sofisticadas para una operación financiera. Los implantes maliciosos contienen todos los módulos necesarios para la operación y, cuando así lo instruye el servidor de comando y control, diferentes módulos se descifran y activan. Todos los datos son subidos a un servidor en forma cifrada.
Los módulos de la campaña son los siguientes:
- Módulo 1 – Monitoreo. Responsable por la comunicación con el servidor de comando y control. Verifica si se está realizando manipulación del tráfico de red a través de técnicas “man-in-the-middle”, validando la conexión a través de la verificación de los certificados de algunos sitios populares.
- Módulo 2 – Limpieza. Si el servicio detecta algún tipo de actividad “sospechosa” en el entorno, como el hecho de que el malware se encuentra ejecutando dentro de una máquina virtual, o que herramientas de depuración están siendo utilizadas de fondo, ejecutará este módulo para realizar una limpieza completa del sistema, desinstalando el servicio de persistencia y cualquier tipo de archivo creado por el malware.
- Módulo 3 – Keylogger. Diseñado para robar credenciales de una larga lista de sitios bancarios, así como paneles genéricos al estilo de Cpanels, Plesk, online, sistemas de reserva aérea, Microsoft Office365, IBM lotus notes clients, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace, y otros servicios.
- Módulo 4 – Robo de Información. Busca recuperar y robar contraseñas almacenadas en clientes de correo electrónico y FTP, así como también de navegadores web.
- Módulo 5 – USB. Se encarga de copiar un archivo ejecutable a una unidad removible para propagar la infección en forma offline. Esto permite al malware moverse de equipo a equipo aún cuando los mismos no cuentan con conexión a Internet. Aún cuando un equipo es comprometido inicialmente a través de un correo de spear-phishing puede continuar la infección mediante este método.
- Módulo 6 – Watchdog. Este servicio se encarga de que el malware se encuentre ejecutando de forma apropiada en el sistema y no haya sido removido.
Todos los módulos descritos se encuentran embebidos dentro de la muestra principal y pueden ser extraídos durante el proceso de análisis.
La campaña aún permanece activa. Está diseñada para ser implantada en cualquier parte del mundo, y atacar cualquier tipo de objetivo según el interés del grupo detrás de esta operación.
Kaspersky Lab detecta la campaña como Trojan.Win32.DarkTequila y Trojan.Win64.DarkTequila.
Hashes de referencia:
4f49a01e02e8c47d84480f6fb92700aa091133c894821fff83c7502c7af136d9
dce2d575bef073079c658edfa872a15546b422ad2b74267d33b386dc7cc85b47
C2s de referencia:
https://46[.]17[.]97[.]12/website/
https://174[.]37[.]6[.]34/98157cdfe45945293201e71acb2394d2
https://75[.]126[.]60[.]251/store/
Para más información acerca de esta campaña, por favor contactenos a financialintel@kaspersky.com
Dark Tequila Añejo