{"id":13274,"date":"2018-08-15T10:34:51","date_gmt":"2018-08-15T16:34:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13274"},"modified":"2018-08-15T10:34:51","modified_gmt":"2018-08-15T16:34:51","slug":"dark-tequila-una-campana-de-complejo-malware-bancario-que-ataca-a-america-latina-desde-2013","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/dark-tequila-una-campana-de-complejo-malware-bancario-que-ataca-a-america-latina-desde-2013\/13274\/","title":{"rendered":"Dark Tequila: una campa\u00f1a de complejo malware bancario que ataca a Am\u00e9rica Latina desde 2013"},"content":{"rendered":"

Una compleja operaci\u00f3n cibern\u00e9tica llamada Dark Tequila ha estado atacando a los usuarios en M\u00e9xico durante por lo menos los \u00faltimos cinco a\u00f1os, y les ha robado credenciales bancarias y datos personales empleando c\u00f3digo malicioso que puede moverse lateralmente a trav\u00e9s de las computadoras de las v\u00edctimas sin conexi\u00f3n a Internet. Seg\u00fan los investigadores de Kaspersky Lab, ese c\u00f3digo malicioso se propaga a trav\u00e9s de dispositivos USB infectados y de spear-phishing<\/em>, e incluye funcionalidades especiales para evadir la detecci\u00f3n. Se cree que el agente de amenaza detr\u00e1s de Dark Tequila es de origen hispanohablante y latinoamericano.<\/strong><\/p>\n

\"dark<\/p>\n

El malware Dark Tequila y su infraestructura de apoyo son inusualmente avanzados para las operaciones de fraude financiero. La amenaza se centra principalmente en robar informaci\u00f3n financiera, pero una vez dentro de una computadora tambi\u00e9n sustrae credenciales de otros sitios, incluso sitios web populares, recolectando direcciones comerciales y personales de correo electr\u00f3nico, cuentas de registros de dominio, cuentas de almacenamiento de archivos y m\u00e1s, posiblemente para ser vendidos o usados en operaciones futuras. Ejemplos incluyen los clientes de correo electr\u00f3nico de Zimbra y las cuentas de los sitios de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.<\/p>\n

\"dark<\/p>\n

El malware lleva una carga \u00fatil de varias etapas e infecta los dispositivos de los usuarios a trav\u00e9s de USB infectados y correos electr\u00f3nicos de phishing. Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga \u00fatil se entrega a la v\u00edctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una soluci\u00f3n de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de an\u00e1lisis (por ejemplo, una sandbox<\/em> virtual), detiene su rutina de infecci\u00f3n y se auto-elimina del sistema.<\/p>\n

 <\/p>\n

Si no encuentra ninguna de estas condiciones, el malware activa la infecci\u00f3n y copia un archivo ejecutable en una unidad extra\u00edble para que se ejecute autom\u00e1ticamente. Esto permite que el malware se traslade a trav\u00e9s de la red de la v\u00edctima aunque no est\u00e9 conectada a Internet o incluso cuando la red de la v\u00edctima tiene varios segmentos no conectados entre s\u00ed. Cuando se conecta otro USB a la computadora infectada, \u00e9ste se infecta autom\u00e1ticamente y as\u00ed puede infectar otro objetivo, cuando este USB sea conectado all\u00ed.<\/p>\n

 <\/p>\n

El implante malicioso contiene todos los m\u00f3dulos necesarios para su operaci\u00f3n, incluyendo un detector de pulsaciones en el teclado y el m\u00f3dulo vigilante en Windows para capturar detalles de inicio de sesi\u00f3n y otra informaci\u00f3n personal. Cuando el servidor de mandos env\u00ede el comando respectivo, nuevos diferentes m\u00f3dulos se instalar\u00e1n y se activar\u00e1n. Todos los datos robados de la v\u00edctima, se transmiten al servidor del atacante en forma cifrada.<\/p>\n

 <\/p>\n

Dark Tequila ha estado activo desde al menos 2013, atacando a usuarios en M\u00e9xico o conectados a ese pa\u00eds. Seg\u00fan el an\u00e1lisis de Kaspersky Lab, la presencia de palabras en espa\u00f1ol en el c\u00f3digo y la evidencia del conocimiento local del pa\u00eds, sugieren que el actor que se encuentra detr\u00e1s de esta operaci\u00f3n es de Am\u00e9rica Latina.<\/p>\n

 <\/p>\n

“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca informaci\u00f3n y credenciales para obtener ganancias financieras. Sin embargo, un an\u00e1lisis m\u00e1s profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras. La estructura modular del c\u00f3digo y sus mecanismos de ofuscaci\u00f3n y detecci\u00f3n lo ayudan a evitar que lo descubran y a entregar su carga maliciosa solo cuando la v\u00edctima sea reconocida y aprobada por el atacante. Esta campa\u00f1a ha estado activa durante varios a\u00f1os y todav\u00eda se siguen encontrando nuevas muestras. Hasta la fecha, solo ha atacado objetivos en M\u00e9xico, pero su capacidad t\u00e9cnica es adecuada para atacar objetivos en cualquier parte del mundo”, <\/em>dijo Dmitry Bestuzhev, jefe del <\/strong>Equipo Global de Investigaci\u00f3n y An\u00e1lisis<\/strong>, Am\u00e9rica Latina, Kaspersky Lab.<\/em><\/strong><\/p>\n

 <\/p>\n

Los productos de Kaspersky Lab detectan y bloquean con \u00e9xito el malware relacionado con Dark Tequila.<\/p>\n

 <\/p>\n

Kaspersky Lab aconseja a los usuarios que sigan las siguientes medidas para protegerse contra el spear-phishing <\/em>y los ataques que se realizan utilizando medios extra\u00edbles como las unidades USB:<\/p>\n

\"\"<\/p>\n

Para todos:<\/p>\n

 <\/p>\n