Alerta por Dark Tequila, un malware que roba credenciales bancarias

Dark Tequila es el nombre de una compleja red de ciberataque que tiene como blanco las credenciales bancarias y datos personales de usuarios. Afectó a varios usuarios en México y se estima que podría expandirse en América Latina y el resto del mundo.

Se trata de un código malicioso que se propaga a través de dispositivos USB afectados y técnicas de engaño conocidas como spear phishing, que son básicamente correos o mensajes que emulan ser de una entidad reconocida para engañar al usuario y lograr que éste le provea sus datos. Usualmente el correo incluye un link que redirige a la persona a un sitio falso donde se le solicita que ingrese su contraseña, número de tarjeta, etc.

Este malware se centra en robar información financiera, pero una vez dentro de la computadora, también obtiene credenciales de sitios web, registros de dominio, archivos y cuentas de almacenamiento para luego ser vendidos o utilizados en otros ataques, según informó Kaspersky Lab.

Dark Tequila está activo al menos desde 2013 y se estima que los cerebros detrás de este complejo entramado estarían en América Latina.

"Esta campaña ha estado activa durante varios años y todavía se siguen encontrando nuevas muestras. Hasta la fecha, solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo", dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina de la compañía.

Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga útil se entrega a la víctima sólo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se autoelimina del sistema, según detalló la empresa en un comunicado.

Cuando no hay una solución de este tipo en el entorno, el malware activa la infección, que se distribuye a través de la red de la víctima aunque ésta no esté conectada a la web e incluso cuando haya varios segmentos que no estén conectados entre sí.

Cuando se conecta otro dispositivo USB a la computadora con el malware, éste se infecta automáticamente y así puede llegar a otros equipos. El implante malicioso contiene todos los módulos necesarios para operar, incluyendo un detector de pulsaciones en el teclado y el módulo vigilante en Windows para capturar detalles de inicio de sesión y otra información personal, según se detalla en el comunicado.

Cuando el servidor de mandos envía el comando, nuevos módulos se instalan y activan. Todos los datos robados de la víctima luego se transmiten al servidor del atacante, de manera cifrada.

Qué medidas de precaución tomar:

1. Evitar ingresar a links que llegan por correo. Es mejor tipear directamente la dirección del supuesto sitio en el navegador

2. Deshabilitar la ejecución automática desde dispositivos USB

3. Verificar las unidades USB con su solución antimalware antes de abrirlas

4. Evitar conectar dispositivos y memorias USB desconocidas al equipo

5. Mantener el sistema operativo actualizado

6. Utilizar una solución de seguridad integral para prevenir este tipo de amenazas