# Dark Tequila > Tipo: **banking-trojan** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[darktequila|Dark Tequila]] é um trojan bancário altamente sofisticado de origem mexicana, ativo entre pelo menos 2013 e 2018 quando foi descoberto pela Kaspersky. O que torna o [[darktequila|Dark Tequila]] notável é sua especificidade geográfica extrema: o malware verificava ativamente a localização geográfica da vítima e só executava sua payload maliciosa em sistemas no México. Essa técnica de filtragem geográfica, combinada com múltiplas verificações anti-sandbox e anti-análise, permitiu que o malware operasse por cinco anos sem ser detectado. O [[darktequila|Dark Tequila]] possui uma arquitetura complexa em múltiplos estágios, com componentes que roubam credenciais bancárias de sites de internet banking mexicanos, credenciais de serviços online populares (Amazon, Dropbox, GoDaddy) e chaves de produtos de software. O malware se propaga não apenas via phishing mas também via dispositivos USB infectados - técnica que expande o alcance para ambientes air-gapped ou com políticas restritivas de e-mail. O código exibe características de desenvolvimento de longo prazo com refatorações e melhorias incrementais ao longo dos anos. O [[darktequila|Dark Tequila]] é um caso de estudo exemplar de ameaça regional latino-americana: desenvolvido por atores falantes de espanhol, com alvo específico no sistema financeiro mexicano e capacidade de evadir detecção por anos. O legado do Dark Tequila para o cenário de ameaças na América Latina é a demonstração de que a região gera grupos de ameaça sofisticados com foco em alvos financeiros locais - padrão que se repete em grupos brasileiros que atacam o sistema financeiro nacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Detecção - Monitorar propagação via dispositivos USB - processos acessando e copiando arquivos para unidades removíveis ([[t1091-replication-through-removable-media|T1091]]) - Detectar verificações de geolocalização por malware - consultas a serviços de geolocalização IP ([[t1614-system-location-discovery|T1614]]) - Alertar sobre keylogging em processos de navegador durante acesso a sites bancários ([[t1056-001-keylogging|T1056.001]]) - Monitorar acesso a credenciais salvas no navegador para múltiplos serviços simultaneamente ([[t1555-003-credentials-from-web-browsers|T1555.003]]) - Implementar verificação comportamental de dispositivos USB inseridos no ambiente corporativo ## Relevância LATAM/Brasil O [[darktequila|Dark Tequila]] tem relevância especial para o Brasil como caso de estudo de ameaça bancária latino-americana sofisticada. O Brasil é o país com maior atividade de trojans bancários na América Latina - com famílias nativas como [[maxtrilha|Maxtrilha]], [[s0531-grandoreiro|Grandoreiro]] e [[s0528-javali|Javali]] - e o legado técnico do Dark Tequila influencia grupos criminosos regionais. A técnica de propagação USB é especialmente relevante no contexto empresarial brasileiro, onde uso de dispositivos USB é comum em ambientes industriais e corporativos sem políticas rigorosas de controle de mídia removível. ## Referências - [Kaspersky - Dark Tequila Analysis](https://securelist.com/dark-tequila/89652/) - [LATAM Threat Landscape - Banking Trojans](https://www.welivesecurity.com/en/eset-research/overview-of-latin-american-banking-trojans/)