经过5年的运作后,邪恶的龙舌兰酒银行恶意软件终于被发现

卡巴斯基实验室的安全研究人员发现了一项新的,复杂的恶意软件活动,该活动至少从2013年开始一直针对几家墨西哥银行机构的客户。该活动称为Dark Tequila,该活动提供了一种先进的键盘记录器恶意软件,可以在五年内保持其高度针对性和一些逃避技术。 Dark Tequila主要用于从一长串在线银行网站窃取受害者的财务信息,以及从热门网站登录凭据,包括代码版本存储库,公共文件存储帐户和域名注册商。 目标网站列表包括“Cpanels,Plesk,在线航班预订系统,Microsoft Office 365,IBM Lotus Notes客户端,Zimbra电子邮件,Bitbucket,亚马逊,GoDaddy,Register,Namecheap,Dropbox,Softlayer,Rackspace和其他服务”,研究人员在一篇博文中称。 恶意软件首先通过鱼叉式网络钓鱼或受感染的USB设备传送到受害者的计算机。 一旦执行,多阶段有效负载仅在满足某些条件后才会感染受害者的计算机,其中包括检查受感染的计算机是否安装了任何防病毒或安全套件,或者是否在分析环境中运行。 除此之外,“其背后的威胁行为者严格监控并控制所有操作。如果有一种不在墨西哥或不感兴趣的偶然感染,恶意软件将从受害者的机器远程安装,”研究人员说。 Dark Tequila恶意软件基本上包括6个主要模块,如下所示:

  1. 1. C&C - 这部分恶意软件管理受感染计算机与命令和控制(C&C)服务器之间的通信,还负责监控中间人攻击以防御恶意软件分析。
  2. 2. CleanUp - 在执行规避技术时,如果恶意软件检测到任何“可疑”活动(如在虚拟机或调试工具上运行),它会对受感染系统进行全面清理,删除持久性服务以及其取证存在。
  3. 3.键盘记录程序 - 此模块旨在监视系统并记录击键,以窃取预先加载的网站列表(包括银行网站和其他热门网站)的登录凭据。
  4. 4.信息窃取程序 - 此密码窃取模块从电子邮件和FTP客户端以及浏览器中提取已保存的密码。
  5. 5. USB Infector - 此模块复制自身并通过USB驱动器感染其他计算机。它将可执行文件复制到可移动驱动器,该驱动器在插入其他系统时自动运行。
  6. 6.服务监视程序 - 此模块负责确保恶意软件正常运行。

根据研究人员的说法,黑龙舌兰酒活动仍然进行,可以部署在世界任何地方,根据其背后的威胁行动者的利益攻击任何目标。 为了保护自己,建议您始终保持警惕可疑电子邮件并保留良好的防病毒解决方案,以防止此类威胁感染您或您的网络。 最重要的是,避免将不受信任的可移动和USB设备连接到您的计算机,并考虑禁用USB设备上的自动运行。

  • 发表于:
  • 原文链接https://thehackernews.com/2018/08/mexico-banking-malware.html

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励