En meses pasados, Trend Micro dio a conocer un reporte sobre un nuevo ataque de phishing que se originó en México, el botnet “Tequila”. Dicho ataque aprovechó la noticia de la supuesta desaparición de una niña de 4 años, Paulette Gebara Farah, quien días más tarde fue hallada sin vida en su propia recámara. Tras realizar investigaciones, Trend Micro encontró que este ataque provenía de un botnet mexicano y que intentaba robar información financiera de los usuarios.
Los usuarios que siguieron la noticia arriba mencionada fueron víctimas de este ataque al visitar la página http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm, la cual contiene un artículo sobre Paulette y prometía mostrar fotos de su mamá desnuda. Cuando el usuario accede a esta página, aparece una ventana de diálogo falsa y pide al usuario que descargue e instale Adobe Flash Player.
Si el usuario da clic en Ejecutar se descarga el archivo video-de-la-mama-de-paulette.exe, el cual de hecho, es el programa de cliente de un bot que detectó Trend Micro como TSPY_MEXBANK.A.
Este botnet denominado Tequila cuenta con una completa serie de características que se pueden comparar con otras familias de botnets más antiguas y establecidas. Cada característica se coloca en su propio “módulo”, el cual puede configurar el botnet herder (creador de la red de bots) uno por uno. Por si fuera poco, el botnet Tequila también puede descargar archivos desde varios URLs maliciosos, ya sea a través de HTTP o FTP. Se ha identificado que tanto los ladrones de información ZBOT como el malware FAKEAV son generados por esta nueva familia.
Además de encontrarse en sitios web maliciosos, el botnet Tequila también puede atacar a través de dispositivos USB y MSN Messenger. El botnet envía mensajes que contienen ya sea un archivo (como un adjunto) o vínculos que dirigen a copias del malware.
Por otro lado, Trend Micro informa que el botnet Tequila es el primero de una serie de variantes como lo son Mariachi, que aprovechaba los bots ya sembrados; Alebrije, que mantiene funcionalidad similar a la de “Tequila” pero su interfaz parece estar basada en Spy Ey; y Mehika, que es controlada mediante una cuenta de Twitter.
La firma de seguridad también ha dado a conocer que tanto Mariachi como Tequila salieron de Internet el pasado mes de junio una vez que sus servidores de comando y control (C&C) fueron derribados.
