Una sofisticada operación informática maliciosa ha sido dirigida a usuarios de México durante al menos 5 años, con el objetivo de robar sus credenciales bancarias, información personal individual y corporativa, a través de un malware llamado Dark Tequila, que puede ser distribuido incluso cuando los usuarios no están conectados a Internet.

Así lo reveló un informe de seguridad de la firma rusa Kaspersky Lab, donde se asegura que el malware se propaga a través de dispositivos USB y campañas de phishing, e incluye funciones de detección. Asimismo, se pudo conocer que los investigadores han recabado indicios que sugieren que el autor detrás de Dark Tequila habla español y proviene de Latinoamérica.

El informe afirma que el malware y su infraestructura de soporte son inusualmente sofisticados, al menos para el sector financiero. Esta amenaza se basa principalmente en el robo de datos bancarios, pero cuando se introduce en el ordenador, es capaz de robar datos de inicio de sesión de otros sitios, direcciones de correo electrónico personales y corporativas, almacenamiento de archivos e incluso dominios.

En este sentido, Dark Tequila puede acceder a los datos de usuarios de sitios como Bitbucket, Amazon, GoDaddy, Dropbox, RackSpace y Network Solutions. El malware incluye varias etapas con respecto al ataque, y es distribuido a los usuarios mediante dispositivos USB infectados y correos electrónicos de phishing. Cuando ya está en el ordenador, Dark Tequila se comunica con el servidor de comando y control para recibir instrucciones.

El proceso de ataque sólo requiere de pocas condiciones técnicas de la red. En tal sentido, si Dark Tequila detecta un software antivirus, supervisión adicional en la red o limitaciones por análisis de malware en entornos virtuales, simplemente detiene el proceso de ataque y desaparece del sistema.

En caso de que el malware no detecte ninguna de estas soluciones de seguridad, activa el ataque local y copia un archivo ejecutable en un disco externo para iniciarlo de forma automática. Esto le permite ejecutarse sin conexión mediante la red del usuario afectado, incluso si un solo dispositivo estuvo comprometido por la campaña de phishing.

Dark Tequila ha estado operando desde el 2013, y su objetivo principal han sido los usuarios de México. Según Kaspersky, el hecho de que existan palabras en español en el código y la prueba de conocimiento de esa área son un indicio de que el hacker tras este malware reside en Latinoamérica.