Dark Tequila是针对墨西哥用户的复杂恶意行动，其主要目的是窃取财务信息，以及登录热门网站的凭据，包括从代码版本存储库到公共文件存储帐户和域名注册商。

只有在满足某些条件时，才会向受害者提供多级有效载荷;安装安全套件或在分析环境中运行样本时避免感染。从最终有效载荷中获取到的目标列表中，此特定行动针对几家墨西哥银行机构的客户，并包含一些嵌入在用西班牙语编写的代码中的注释，这些注释使用仅在拉丁美洲使用的单词。

大多数受害者都位于墨西哥。该行动自2013年以来一直活跃，因此它是一款非常'añejo'（成熟）的产品。有两种已知的感染媒介：鱼叉式网络钓鱼和USB设备感染。

它背后的威胁行为者严格监控和控制所有操作。如果存在不在墨西哥或不感兴趣的偶然感染，则从受害者的机器远程卸载恶意软件。

(Abrir la carpeta para ver los archivos”的翻译 – “打开文件夹查看文件”。 “Archivos”一词仅由拉丁美洲的西班牙语使用者使用)

Dark Tequila恶意软件及其支持基础设施对于金融欺诈来说非常复杂。恶意植入包含操作所需的所有模块，并且当由het命令服务器指示时，不同的模块解密并激活。所有被盗数据都以加密形式上传到服务器。

此行动模块如下：

· 模块1——负责与命令和控制服务器的通信。它通过使用一些非常受欢迎的网站验证证书来检查是否正在执行中间人网络。

· 模块2——清痕。如果服务在环境中检测到任何类型的“可疑”活动，例如它在虚拟机上运行，或者在后台运行调试工具，它将执行此模块以完全清理系统，删除持久性服务以及先前在系统上创建的任何文件。

· 模块3——Keylogger和Windows Monitor。这是为了窃取一长串在线银行网站，以及通用Cpanels，Plesk，在线航班预订系统，Microsoft Office365，IBM Lotus Notes客户，Zimbra电子邮件，Bitbucket，亚马逊，GoDaddy，Register，Namecheap，Dropbox ，Softlayer，Rackspace和其他服务的凭据。

· 模块4——信息窃取程序，旨在窃取电子邮件和FTP客户端以及浏览器中保存的密码。

· 模块5——USB感染程序。这会将可执行文件复制到可移动驱动器以自动运行。这使恶意软件能够通过受害者的网络离线感染，即使最初只有一台机器通过鱼叉式网络钓鱼而受到攻击。当另一个USB连接到受感染的计算机时，它会自动被感染，并准备将恶意软件传播到另一个目标。

· 模块6——服务监督程序。此服务负责确保恶意软件正常运行。

该行动仍然活跃。它旨在部署在世界的任何地方，并根据其背后的威胁行为者的利益攻击任何目标。

hashes:

4f49a01e02e8c47d84480f6fb92700aa091133c894821fff83c7502c7af136d9
dce2d575bef073079c658edfa872a15546b422ad2b74267d33b386dc7cc85b47

C2s:

https://46[.]17[.]97[.]12/website/
https://174[.]37[.]6[.]34/98157cdfe45945293201e71acb2394d2
https://75[.]126[.]60[.]251/store/