• LOGIN
  • No hay productos en el carrito.

DarkTequila | Malware infecta instituciones bancarias (México)

DarkTequila

DarkTequila es un malware descubierto por el equipo de investigadores de Kaspersky Labs, el cual desde el año 2013 ha infectado a clientes de varias instituciones bancarias en México. DarkQuila tiene el objetivo de robar información financiera y credenciales de acceso a sitios web populares.

Tequila Obscuro o DarkTequila, consiste en una campaña masiva en la cual se envía un Keylogger el cual según los expertos es muy avanzado, gracias a las tecnias de evasión y su naturaleza le han permitido estar bajo del rada durante 5 años robando información.

Los investigadores de Kaspersky Labs aseguran que este malware esta diseñado para robar datos de una lista de sitios los cuales se clasifican en:

  • Banca en Linea
  • Cpanels Genericos
  • Sistemas de reservacion de vuelos
  • Microsoft Office 360
  • Clientes de Lotus Notes
  • E-Mails de Zimbra
  • BitBucket
  • Amazon
  • GoDaddy
  • Register
  • DropBox
  • Softlayer
  • RackSpace
  • Entre otros

En esta lista se encuentran instituciones bancarias de México y en el codigo, existen comentarios escritos en español, utilizando palabras que sol se hablan en latino america, por lo cual se especula que los/el creador es de origen Latino Americano.

Algo que en lo personal se me hizo interesante (creo también a los investigadores de Kaspersky Labs) es que el malware entrega una carga útil de varias etapas solo cuando se cumplen ciertas condiciones, por lo cual se evita la infección cuando existen suites de seguridad instaladas o se ejecuta en un entorno de análisis.

Existen dos vectores de infección conocidos hasta el memento:

  • SpearPhishing
  • Memorias de almacenamiento USB

El malware Dark Tequila básicamente incluye 6 módulos principales, de la siguiente manera:

  1.  C & C: esta parte del malware gestiona la comunicación entre la computadora infectada y el servidor de comando y control (C & C) y también es responsable de monitorear los ataques de hombre en el medio para defenderse contra el análisis de malware.
  2. Limpieza: mientras se realizan técnicas de evasión, si el malware detecta alguna actividad “sospechosa”, como ejecutar en una máquina virtual o herramientas de depuración, realiza una limpieza completa del sistema infectado, eliminando el servicio de persistencia y la evidencia forense de su presencia.
  3. Keylogger: Este módulo ha sido diseñado para monitorear el sistema y registrar las pulsaciones de teclas para robar las credenciales de inicio de sesión para una lista preinstalada de sitios web, tanto bancarios como de otros sitios populares.
  4. Stealer de información: este módulo de robo de contraseñas extrae contraseñas guardadas de clientes de correo electrónico y FTP, así como de navegadores.
  5. El Infector USB: este módulo se replica e infecta computadoras adicionales a través de unidades USB. Copia un archivo ejecutable en una unidad extraíble que se ejecuta automáticamente cuando se conecta a otros sistemas.
  6. Service Watchdog: este módulo es responsable de asegurarse de que el malware se esté ejecutando correctamente.

La campaña de infección sigue activa y preocupantemente lista para ser desplegada en cualquier parte del mundo con objetivos especificados por el/los creadores del malware.

Fuente: DIV | Security

26/08/2018

¿Necesitas ayuda?

Si necesitas ayuda con la plataforma puedes enviarnos un correo a cursos@iciberseguridad.io, una persona estará feliz de poder ayudarte 🙂

Un poco de nosotros

Creemos que la capacitación en ciberseguridad debe ser gratuita, para todos y PARA SIEMPRE. Todos merecemos la OPORTUNIDAD de comenzar y desarrollar una carrera en este fascinante y majestuosa área.
Por lo tanto, el Instituto de Ciberseguridad es una comunidad donde las personas y las empresas se unen para brindar a todos la posibilidad de colaborar y revolucionar la experiencia educativa de ciberseguridad.

ICS: Instituto de Ciberseguridad

top
Instituto de Ciberseguridad. Todos los derechos reservados.
X