Dark Tequila – zaawansowana operacja ukierunkowana na kradzież danych

Szkodliwe oprogramowanie Dark Tequila i wspierająca je infrastruktura są niezwykle wyrafinowane jak na operację w ramach oszustwa finansowego. Zagrożenie jest skoncentrowane głównie na kradzieży informacji finansowych, jednak po przedostaniu się na komputer przesyła również dane uwierzytelniające dostęp do innych stron, w tym popularnych serwisów internetowych, przechwytując firmowe i prywatne adresy e-mail, konta w serwisach magazynowania plików itd. prawdopodobnie w celu sprzedaży lub wykorzystania w przyszłych operacjach. Przykładem mogą być klienty pocztowe Zimbra oraz strony internetowe Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace i inne.

Szkodliwe oprogramowanie zawiera wielofazową szkodliwą funkcję i jest rozprzestrzeniane do użytkowników za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych. Po przedostaniu się do komputera szkodliwe oprogramowanie nawiązuje kontakt ze swoim serwerem kontroli w celu otrzymania instrukcji. Szkodliwa funkcja zostanie dostarczona ofierze tylko wtedy, gdy zostaną spełnione określone warunki techniczne. Jeżeli szkodliwe oprogramowanie wykryje zainstalowane rozwiązanie bezpieczeństwa, proces monitorowania sieci lub oznaki wskazujące na uruchomienie próbki w systemie przeznaczonym do analizy (np. maszynie wirtualnej), zatrzymuje procedurę infekcji i usuwa się z systemu.

Jeżeli żadne z powyższych działań nie zostanie wykryte, szkodliwe oprogramowanie aktywuje lokalną infekcję i kopiuje plik wykonywalny na dysk przenośny w celu automatycznego uruchomienia. W ten sposób szkodliwe oprogramowanie będzie mogło poruszać się offline w sieci ofiary, nawet jeśli początkowo za pomocą phishingu zainfekowana została tylko jedna maszyna. Gdy do zainfekowanego komputera zostanie podłączone inne urządzenie USB, zostanie ono automatycznie zainfekowane i będzie gotowe do rozprzestrzeniania szkodliwego oprogramowania do innego urządzenia.

Szkodliwy implant zawiera wszystkie moduły niezbędne do działania, w tym narzędzie przechwytujące znaki wprowadzane z klawiatury (tzw. keyloggera) oraz możliwość monitorowania okien w celu przechwytywania danych dot. logowania oraz innych informacji osobowych. Odpowiednio poinstruowane przez serwer kontroli moduły szkodnika przeprowadzają deszyfrację i aktywację. Wszystkie skradzione dane są przesyłane na serwer w formie zaszyfrowanej.

Ugrupowanie Dark Tequila było aktywne od co najmniej 2013 r., atakując użytkowników zlokalizowanych w Meksyku lub związanych z tym państwem. Z analizy Kaspersky Lab wynika, że obecność hiszpańskich słów w kodzie oraz znajomość lokalnych realiów sugerują, że ugrupowanie odpowiedzialne za tę operację pochodzi z Ameryki Łacińskiej.