A Kaspersky Lab szakértői szerint a rosszindulatú kód fertőzött USB eszközökkel és spear phishing adathalász támadások segítségével terjed és olyan funkciókat tartalmaz, amelyek megakadályozzák az észlelését. A vizsgálatok azt mutatják, hogy a Dark Tequila fejlesztője/i spanyolul beszélnek és latin-amerikai származásúak.

A Dark Tequila malware és a hozzá tartozó infrastruktúra szokatlanul kifinomult a pénzügyi visszaélések világában. A kibercsapda elsősorban a pénzügyi információk ellopására fókuszál, de amint egy számítógépre bejut, akkor más, népszerű weboldalak hitelesítő adatait is ellopja, mint például e-mail címeket, domain regisztrációkat stb.

Forrás: Kaspersky Lab

Miként már említettük, a malware egy többlépcsős payload-dal (hasznos teher) fertőzött USB-s készülékekkel, valamint spear-phishing e-mailek segítségével terjed. Amint bejut egy számítógépbe, kapcsolatba lép a szerverrel és várja a további utasításokat. A payload csak akkor kerül az áldozat gépére, ha teljesülnek bizonyos hálózati feltételek. Például, ha a malware egy biztonsági megoldást, vagy hálózatfigyelést, vagy egy virtuális sandbox-ot észlel, akkor leállítja a fertőzést és törli magát.

Ha a fentiek közül nem talál semmit, akkor a program aktiválja a lokális fertőzést és lemásol egy végrehajtó fájlt egy külső meghajtóra, amely majd automatikusan futni fog. Ez lehetővé teszi a malware számára, hogy „mozogjon” az áldozat hálózatán offline üzemmódban is, még akkor is, ha csupán egy készüléket támadott meg eredetileg. Például, ha egy másik USB készüléket csatlakoztatnak a fertőzött számítógéphez, akkor az új USB-s eszköz is automatikusan fertőzötté válik és immár készen áll, hogy tovább terjedjen.

A malware tartalmazza a művelethez szükséges összes modult, beleértve egy keyloggert és egy ablak-felügyeleti eszközt, amely rögzít minden bejelentkezéshez szükséges és más privát adatot. A parancsszerver utasításainak megfelelően a különböző modulokat dekódolja és aktiválja. Ezután minden ellopott adatot titkosított formában feltölt a szerverre.

A Dark Tequila 2013. óta működik, és főként mexikói vagy ahhoz kapcsolódó felhasználókat céloz. A Kaspersky Lab elemzései alapján a spanyol szavak jelenléte a kódban és a lokális információk azt sugallják, hogy a fejlesztő/k Latin-Amerikából származhatnak.

„Első ránézésre a Dark Tequila ugyanolyan, mint bármely más trójai, amelyet pénzügyi visszaélésekre használt adatlopásokra terveztek. A mélyebb elemzés, azonban rávilágít a rosszindulatú program összetettségére, ami szokatlan a pénzügyi kibercsapdák terén. A kód moduláris felépítése, a terjesztési- és detektáló mechanizmusai rendkívül fejlettek. Ez a kibercsapda sok éve működik aktívan és egyre több új malware mintát is találtunk. Egyelőre Mexikóban tevékeny, de komplexitása és képességei miatt alkalmas arra, hogy világszerte bárhol támadjon.”– magyarázta Dmitry Bestuzhev, a Kaspersky Lab latin-amerikai kutatási és elemzési csoport részlegének vezetője.