Dark Tequila kod adlı gelişmiş bir siber operasyon, son beş yıldır Meksika başta olmak üzere Latin Amerika’da kullanıcıları hedef alıyor. Banka kimlik bilgilerini, kişisel ve kurumsal verileri çalan yazılım, kurbanın bilgisayarı internete bağlı değilken bile hareket edebiliyor. Kaspersky Lab araştırmacılarına göre zararlı kod, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırılarıyla yayılıyor ve tespit edilmekten kaçınabiliyor. Dark Tequila’nın ardındaki tehdit grubunun İspanyolca konuşan ve Latin Amerika kökenli kişilerden oluştuğuna inanılıyor.
Finansal dolandırıcılık operasyonu
Dark Tequila zararlı yazılımı ve onu destekleyen altyapı, finansal dolandırıcılık faaliyetlerinde görülmeye alışık olmadığı derecede gelişmiş. Tehdit temel olarak finansal bilgileri çalmaya odaklanıyor. Ancak, bir bilgisayara girdikten sonra popüler websiteleri de dahil diğer sitelere giriş bilgilerini alıyor, iş ve kişisel e-posta adreslerini, alan adı kayıtlarını, dosya depolama hesaplarını ve daha fazlasını da satmak veya gelecekteki faaliyetlerinde kullanmak için topluyor. Zimbra e-posta müşterileri ve Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace gibi websiteleri bunlara örnek verilebilir.
Çok katmanlı bir yapıya sahip olan zararlı yazılım, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırıları üzerinden kullanıcılara dağıtılıyor. Zararlı yazılım bilgisayara girdikten sonra, talimat almak için kendi komut sunucusuyla bağlantı kuruyor. Yazılımın taşıdığı yük ancak belirli teknik ağ koşulları sağlandığında kurbana ulaşıyor. Zararlı yazılım; kurulu bir güvenlik çözümü, ağ izleme faaliyeti veya sanal elek gibi bir analiz ortamında çalıştığına dair işaret tespit ettiğinde bulaşma sürecini durdurup kendini sistemden siliyor.
Bunların hiçbirinin olmadığı durumda ise zararlı yazılım yerel bulaşma sürecini etkinleştiriyor ve otomatik çalışmak için, çıkarılabilir bir sürücünün içine çalıştırılabilir bir dosya kopyalıyor. Böylece zararlı yazılım, kurbanın ağında ağ bağlantısı olmadan da hareket edebiliyor. Hedef odaklı kimlik avı saldırısı yoluyla yalnızca tek bir makine de etkilense bu durum geçerli oluyor. Zararlı yazılımın bulaştığı bilgisayara bir USB takıldığında, o cihaz da otomatik olarak etkileniyor ve zararlı yazılımı başka bir hedefe bulaştırmaya hazır hale geliyor.
Zararlı parçada, giriş bilgileri ve diğer kişisel verileri toplamak için basılan tuşları kaydetme ve pencere izleme gibi gerekli tüm modüller bulunuyor. Komut sunucusundan talimat gönderildiğinde diğer modüller de çözülüp aktif hale geliyor. Çalınan tüm veriler sunucuya şifreli bir şekilde yükleniyor.
Dark Tequila en az 2013’ten bu yana Meksika’da ve bu ülkeyle bağlı yerlerde faaliyet gösteriyor. Kaspersky Lab’in analizlerine göre kodda bulunan İspanyolca kelimeler ve yerel bilgiler, operasyonun arkasındaki tehdit grubunun Latin Amerika’dan olduğunu gösteriyor.