استهدفت عملية تخريبية إلكترونية معقدة معروفة باسم «دارك تكلا»، مستخدمين في أمريكا اللاتينية، ولا سيما المكسيك، لفترة السنوات الخمس الماضية على الأقل، من أجل سرقة بيانات اعتماد الدخول إلى الحسابات المصرفية والبيانات الشخصية والمؤسسية، وذلك باستخدام برمجية خبيثة يمكنها التحرك تلقائياً عبر حاسوب الضحية غير المتصل بالإنترنت. وتنتشر البرمجية الخبيثة، وفقاً لباحثين من كاسبرسكي لاب، من خلال أدوات USB مصابة وعبر وسائل التصيد الموجّه وتتضمن مزايا متطورة لتجنب الكشف عنها. ويعتقد أن الجهة التي تقف وراء العملية التخريبية هذه جهة ناطقة بالإسبانية من أمريكا اللاتينية.وقد جرى تطوير البرمجية الخبيثة «دارك تكلا» والبنية التحتية الداعمة لها تطويراً غير مألوف لجعلها تناسب عمليات الاحتيال المالي، لتشكل تهديداً يركِّز بالأساس على سرقة المعلومات المالية، ولكنها بمجرد الدخول إلى جهاز الحاسوب، تقوم بسحب بيانات اعتماد الدخول إلى مواقع أخرى، تشمل مواقع ويب شهيرة، جامعة عناوين البريد الإلكتروني الشخصية والتجارية والسجلات الخاصة بأسماء النطاق وحسابات تخزين الملفات والمزيد، ربما لتُباع أو تستخدم في عمليات تخريبية مستقبلية. ومن الأمثلة على الجهات المستهدفة عملاء البريد الإلكتروني Zimbra والمواقع الإلكترونية التابعة لكل من Bitbucket وAmazon وGoDaddy وNetwork Solutions وDropbox وRackSpace وغيرها.وتحمل البرمجية الخبيثة حمولة متعددة المراحل توزّعها على المستخدمين من خلال أقراص التخزين USB المصابة والرسائل الإلكترونية الخاصة بعمليات التصيد الموجه. وما إن تدخل في جهاز حاسوب حتى تقوم بالاتصال بخادم القيادة الذي تتبع له لتلقي الإرشادات، ولا يتم تسليم الحمولة إلى الضحية إلا عندما تُستوفى بعض شروط الشبكة التقنية. وإذا اكتشفت البرمجية الخبيثة حلاً أمنياً مثبتاً، أو نشاطاً لمراقبة الشبكة أو علامات تشير إلى أن العيّنة يتم تشغيلها في بيئة تحليل أمني، فإنها توقف عملية الإصابة وتلغي نفسها من النظام.أما في حال لم تعثر على أي من هذه الحلول والأنشطة على النظام، تنشّط البرمجية الخبيثة العدوى ناسخة ملفاً تنفيذياً إلى قرص تخزين محمول من أجل التشغيل التلقائي للملف، ما يمكّن البرمجية الخبيثة من التحرّك عبر الأجهزة دون الحاجة إلى الاتصال بالشبكة وذلك من خلال قرص التخزين، وحتى عندما يتم اختراق جهاز واحد في البداية عن طريق التصيد الموجّه. وعندما يتم توصيل قرص تخزين USB آخر بالحاسوب المصاب يصبح تلقائياً مصاباً ومستعداً لنشر البرمجية الخبيثة وإيصالها إلى أهداف أخرى.وتحتوي الغرسة الخبيثة التي يتم زرعها في الجهاز المصاب على جميع الوحدات المطلوبة للعملية، والتي تشمل سجلاً مفتاحياً وقدرة على مراقبة النظام «ويندوز»، للحصول على تفاصيل تسجيل الدخول ومعلومات شخصية أخرى. وعندما يطلب خادم القيادة من البرمجية تنفيذ العملية يتم فكّ تشفير مختلف الوحدات وتنشيطها، ليتم بعد ذلك تحميل جميع البيانات المسروقة إلى الخادم بطريقة مشفرة.وتنشط عملية «دارك تكلا» منذ العام 2013 على الأقل، مستهدفة مستخدمين في المكسيك أو مرتبطين بهذا البلد. وقد أظهرت تحليلات كاسبرسكي لاب أن استخدام كلمات إسبانية في شيفرة البرمجية ووجود دليل على المعرفة المحلية، يشيران إلى أن الجهة الكامنة وراء هذا التهديد تنتمي إلى أمريكا اللاتينية.