Malware-ul Dark Tequila şi infrastructura suport sunt neobişnuit de sofisticate pentru operaţiuni de fraudă financiară. Ameninţarea se concentrează în principal pe furtul de informaţii financiare, dar odată ajunsă în interiorul unui computer, fură şi datele de autentificare de pe alte site-uri, inclusiv de pe unele populare, colectând adrese de e-mail personale şi de business, domenii, conturi de stocare de fişiere şi altele – care urmau probabil să fie vândute sau folosite în operaţiuni viitoare. Exemplele includ clienţii de e-mail Zimbra şi site-uri pentru Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace.

Programul malware are mai multe etape de infectare şi este distribuit către utilizatori prin intermediul unor dispozitive USB infectate şi al e-mail-urilor de phishing direcţionat. Odată ajuns în computer, malware-ul ia legătura cu serverul de comandă şi control pentru a primi instrucţiuni. Procesul de infectare a victimei are loc numai dacă sunt îndeplinite câteva condiţii tehnice ale reţelei. Dacă malware-ul detectează o soluţie de securitate instalată, activitate de monitorizare a reţelei sau semne că mostra este analizată într-un mediu precum un sandbox virtual, opreşte procesul de infectare şi dispare din sistem.

Dacă nu este detectat niciunul dintre aceste indicii, malware-ul activează infectarea locală şi copiază un fişier executabil pe un drive extern, pentru a fi lansat automat. Acest lucru îi permite malware-ului să circule offline prin reţeaua victimei, chiar şi în situaţia în care a fost compromis numai un dispozitiv, prin intermediului phishing-ului direcţionat. Atunci când un alt USB este conectat la un computer compromis, este şi el infectat automat şi gata să răspândească malware-ul asupra altei ţinte.

Implantul periculos conţine toate modulele necesare pentru operaţiune, inclusiv un key-logger şi capacitatea de monitorizare a ferestrelor pentru a obţine datele de login şi alte informaţii personale. Atunci când primesc comanda de la serverul de comandă şi control, se activează diverse module. Toate datele furate sunt încărcate pe server în formă criptată.

Dark Tequila a fost activ din 2013, vizând utilizatorii din Mexic sau care au legătură cu această ţară. Pe baza analizei Kaspersky Lab, prezenţa cuvintelor spaniole în cod şi dovada unor cunoştinţe despre acea zonă sugerează faptul că autorii acestei operaţiuni sunt din America Latină.