Un malware bancario particolarmente complesso, Dark Tequila, ha preso di mira da 5 anni l’America Latina e in particolare il Messico rubando dati personali e aziendali. Secondo i ricercatori di Kaspersky Lab il codice dannoso si diffonde attraverso dispositivi USB infetti e e-mail di spear-phishing e include funzionalità che ne eludono il rilevamento. L’autore delle minacce nascosto dietro Dark Tequila si pensa sia di lingua spagnola e abbia origini latinoamericane. Dark Tequila è attivo dal 2013 e ha preso di mira utenti messicani o collegati a questo Paese. Sulla base delle analisi condotte da Kaspersky Lab infatti, la presenza di parole spagnole nel codice e prove di conoscenze specifiche di quelle zone suggeriscono che l’autore delle minacce provenga dall’America Latina.
Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America, di Kaspersky Lab
A prima vista, Dark Tequila assomiglia ad un qualsiasi altro trojan bancario, a caccia di informazioni e credenziali per ottenere un guadagno finanziario, ma un’analisi più approfondita, ne rivela una complessità che non si riscontra spesso nelle minacce finanziarie. La struttura modulare del codice e i suoi meccanismi di occultamento e rilevamento contribuiscono a renderne difficile la scoperta e ad eseguire il suo payload dannoso solo quando il malware decide sia sicuro farlo. Questa campagna è attiva da diversi anni e nuovi campioni vengono ancora trovati. Fino ad oggi ha attaccato solo obiettivi in Messico, ma la sua capacità tecnica è tale da poter attaccare obiettivi in qualsiasi parte del mondo.
Il malware Dark Tequila e la sua infrastruttura di supporto sono ottimizzate per le operazioni di frode finanziaria. La minaccia si concentra principalmente sul furto di informazioni finanziarie, ma una volta all’interno di un computer trasferisce anche le credenziali ad altri siti. Il malware esegue un payload multi-stage e viene distribuito agli utenti tramite dispositivi USB infetti e e-mail di spear-phishing. Una volta all’interno di un computer, il malware entra in contatto con il suo server di comando per ricevere istruzioni. Il payload viene inviato alla vittima solo quando vengono soddisfatte determinate condizioni tecniche della rete: se il malware rileva una soluzione di sicurezza installata, un’attività di monitoraggio della rete o segnala che il campione è eseguito in un ambiente di analisi, come una sandbox virtuale, interrompe la routine di infezione e si cancella dal sistema.
Se nessuna di queste attività viene rilevata, il malware attiva l’infezione locale e copia un file eseguibile su un’unità rimovibile da eseguire automaticamente. Ciò consente al malware di spostarsi offline attraverso la rete della vittima, anche quando un solo computer è stato inizialmente compromesso tramite spear-phishing.
I prodotti Kaspersky Lab sono in grado di rilevare e bloccare il malware correlato a Dark Tequila. Kaspersky Lab consiglia agli utenti di adottare le seguenti misure per proteggersi dallo spear-phishing e dagli attacchi tramite supporti rimovibili come USB:
Per tutti gli utenti:
• Prima di aprire un allegato è opportuno controllarlo con soluzioni anti-virus;
• Disabilitare funzionalità automatiche dai dispositivi USB;
• Controllare le unità USB con soluzioni anti-virus prima dell’apertura di eventuali documenti contenuti;
• Non collegare dispositivi sconosciuti e chiavette USB al vostro dispositivo;
•Utilizzare una soluzione di sicurezza con un’ulteriore protezione efficace contro le minacce finanziarie.
Le aziende sono inoltre invitate ad assicurarsi che:
• Le porte USB sui dispositivi dell’utente siano bloccate se non sono richieste per attività aziendali;
• Venga regolamentato l’uso di dispositivi USB: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa;
•I dipendenti vengano istruiti su pratiche sicure d’utilizzo delle USB, in particolare se spostano il dispositivo da un computer personale ad un dispositivo di lavoro;
• Non vengano lasciate USB in giro o sul display.