La campagne « Dark Tequila » est relativement avancée et vise principalement les utilisateurs mexicains et serait active depuis au moins 2013.
Les campagnes ciblées d’infection par logiciels malveillants ne sont pas nouvelles, cependant, il arrive de temps à autre d’en voir émerger de nouvelles ou d’anciennes plus avancées que les autres. C’est le cas de « Dark Tequila ».
Le logiciel malveillant utilisé se transmet principalement par hameçonnage (au sein d’une pièce jointe) ou par transfert USB (connexion d’une clé USB au poste). Afin d’éviter la détection, le logiciel se décompose en plusieurs chargements et modules, dont, par exemple, un mécanisme de détection d’environnements virtuels, de solutions d’analyse (debug / antivirus). Ce module empêche le chargement des autres modules, désinstalle le logiciel malveillant et efface toutes les traces (persistance, fichiers créés, etc.) rendant sa détection et son analyse beaucoup plus complexes.
Si le module ne détecte pas de « danger », il procède alors à l’installation et l’utilisation des autres modules dont un mécanisme de surveillance des échanges HTTP/HTTPS (Man-in-the-Middle), un enregistreur de frappes clavier, un mécanisme de surveillance Windows cherchant à dérober des identifiants, un module de réplication par USB et enfin un service de surveillance et contrôle permettant de vérifier le bon fonctionnement du logiciel et d’envoyer des consignes spécifiques. Ce malware est donc en mesure de détecter l’utilisation d’identifiants, mots de passe, informations bancaires pour de nombreux sites des banques mexicaines jusqu’aux sites d’hébergement de code ou encore des clients mail.
Si une opération avancée comme Dark Tequila est restée aussi longtemps discrète, cela est dû non seulement aux capacités de son logiciel malveillant capable d’être difficile à détecter, mais aussi à des contrôles effectués par les opérateurs de la solution : si une installation est détectée en dehors du Mexique, un ordre de désinstallation est envoyé.
L’analyse du logiciel a permis de déceler ces mécanismes, de les comprendre et aussi de découvrir des chaînes de texte en espagnol dont plusieurs mots sont propres à l’Amérique Latine, ce qui suggère fortement un acteur local.
Zimbra, l’une des solutions visées par le logiciel malveillant dont les données peuvent être dérobées souligne que le logiciel n’utilise pas de vulnérabilité au sein de ces solutions. Ce dernier tente de récupérer les informations détenues ou communiquées par l’utilisateur lors de l’utilisation des services ciblés. Dans l’article publié sur leur blog, ils rappellent également quelques bonnes pratiques quant à la vigilance par rapport aux mails de phishing, à l’utilisation d’authentification multifacteurs ou encore à l’utilisation de mots de passe forts et uniques à chaque site ou service.