{"id":10650,"date":"2018-08-15T13:06:49","date_gmt":"2018-08-15T16:06:49","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10650"},"modified":"2019-11-22T07:17:05","modified_gmt":"2019-11-22T10:17:05","slug":"dark-tequila-kaspersky-malware-bancario","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dark-tequila-kaspersky-malware-bancario\/10650\/","title":{"rendered":"Dark Tequila: Kaspersky descobre campanha de malware banc\u00e1rio na AL"},"content":{"rendered":"

CIDADE DO PANAM\u00c1 \u2013 <\/strong>Uma sofisticada opera\u00e7\u00e3o cibern\u00e9tica chamada Dark Tequila tem atacado usu\u00e1rios no M\u00e9xico durante pelo menos os \u00faltimos cinco anos, roubando credenciais banc\u00e1rias e dados pessoais ao utilizar um c\u00f3digo malicioso que pode se mover lateralmente por meio do computador da v\u00edtima, mesmo estando sem conex\u00e3o \u00e0 internet. A campanha foi revelada durante a Semana de Ciberseguran\u00e7a, que acontece aqui no Panam\u00e1.<\/p>\n

Segundo os pesquisadores da Kaspersky Lab, o c\u00f3digo malicioso se espalha por meio de dispositivos USB infectados e spear-phishing<\/em><\/a>, al\u00e9m de possuir funcionalidades especiais para evitar a detec\u00e7\u00e3o. Acredita-se que o ator por tr\u00e1s do Dark Tequila seja de l\u00edngua espanhola e de origem latino-americana.<\/p>\n

O malware Dark Tequila e sua infraestrutura s\u00e3o incomumente sofisticados para opera\u00e7\u00f5es de fraude financeira. A amea\u00e7a est\u00e1 focada principalmente em roubar informa\u00e7\u00f5es financeiras, mas, uma vez dentro de um computador, tamb\u00e9m extrai credenciais de outros sites, coleta de endere\u00e7os de e-mail pessoais e comerciais, contas de registros de dom\u00ednios, contas de armazenamento de arquivos e muito mais, possivelmente para serem vendidos ou usados em opera\u00e7\u00f5es futuras.<\/p>\n

O malware utiliza um payload de v\u00e1rios est\u00e1gios e \u00e9 distribu\u00eddo aos usu\u00e1rios por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instru\u00e7\u00f5es. O payload (c\u00f3digo malicioso) \u00e9 entregue \u00e0 v\u00edtima somente quando certas condi\u00e7\u00f5es s\u00e3o atendidas. Se o malware detectar uma solu\u00e7\u00e3o de seguran\u00e7a instalada, ou tiver sinais de que a amostra \u00e9 executada em um ambiente de an\u00e1lise (sandbox), interromper\u00e1 a rotina de infec\u00e7\u00e3o e se excluir\u00e1 do sistema.
\n\"\"Se nada for encontrado, o malware ativa a infec\u00e7\u00e3o e copia um arquivo execut\u00e1vel para a unidade remov\u00edvel, com modo de execu\u00e7\u00e3o autom\u00e1tica. Isso permite que o malware se mova pela rede da v\u00edtima mesmo n\u00e3o estando conectado \u00e0 Internet, ou at\u00e9 mesmo quando a rede da v\u00edtima tem segmentos n\u00e3o conectados entre si. Quando outro USB \u00e9 conectado ao computador infectado, ele se infecta automaticamente.<\/p>\n

O implante malicioso cont\u00e9m todos os m\u00f3dulos necess\u00e1rios para sua opera\u00e7\u00e3o, incluindo keylogger (grava\u00e7\u00e3o do que \u00e9 digitado) e recurso de monitoramento que captura detalhes de login e informa\u00e7\u00f5es pessoais. Assim que o servidor envia um comando espec\u00edfico, novos m\u00f3dulos s\u00e3o instalados e ativados. Todos os dados roubados s\u00e3o enviados\u00a0de forma criptografada para o servidor do atacante .<\/p>\n

O Dark Tequila est\u00e1 ativo desde pelo menos 2013, visando usu\u00e1rios no M\u00e9xico ou, de certa forma, conectado a esse pa\u00eds. Com base na an\u00e1lise da Kaspersky Lab, a presen\u00e7a de palavras em espanhol no c\u00f3digo e a evid\u00eancia de conhecimento local sugerem que o ator por tr\u00e1s da opera\u00e7\u00e3o \u00e9 da Am\u00e9rica Latina.<\/p>\n

\u201c\u00c0 primeira vista, o Dark Tequila se parece com qualquer outro Trojan banc\u00e1rio, buscando informa\u00e7\u00f5es e credenciais para obter ganhos financeiros. Uma an\u00e1lise mais profunda, no entanto, revela uma complexidade neste malware que n\u00e3o \u00e9 vista com frequ\u00eancia em amea\u00e7as financeiras\u201d, diz\u00a0Dmitry Bestuzhev, Chefe da Equipe Global de Pesquisa e An\u00e1lise da Kaspersky Lab para Am\u00e9rica Latina.\u00a0\u201cAt\u00e9 o momento, ele atacou apenas alvos no M\u00e9xico, mas sua capacidade t\u00e9cnica \u00e9 suficiente para atacar alvos em qualquer parte do mundo\u201d, afirma.
\n<\/p>\n

Como se proteger<\/h3>\n

A Kaspersky recomenda as seguintes medidas para se proteger contra\u00a0spear-phishing<\/em> e ataques por meio de m\u00eddia remov\u00edvel, como USBs.<\/p>\n