经过5年的运作后，邪恶的龙舌兰酒银行恶意软件终于被发现

卡巴斯基实验室的安全研究人员发现了一项新的，复杂的恶意软件活动，该活动至少从2013年开始一直针对几家墨西哥银行机构的客户。该活动称为Dark Tequila，该活动提供了一种先进的键盘记录器恶意软件，可以在五年内保持其高度针对性和一些逃避技术。 Dark Tequila主要用于从一长串在线银行网站窃取受害者的财务信息，以及从热门网站登录凭据，包括代码版本存储库，公共文件存储帐户和域名注册商。 目标网站列表包括“Cpanels，Plesk，在线航班预订系统，Microsoft Office 365，IBM Lotus Notes客户端，Zimbra电子邮件，Bitbucket，亚马逊，GoDaddy，Register，Namecheap，Dropbox，Softlayer，Rackspace和其他服务”，研究人员在一篇博文中称。 恶意软件首先通过鱼叉式网络钓鱼或受感染的USB设备传送到受害者的计算机。 一旦执行，多阶段有效负载仅在满足某些条件后才会感染受害者的计算机，其中包括检查受感染的计算机是否安装了任何防病毒或安全套件，或者是否在分析环境中运行。 除此之外，“其背后的威胁行为者严格监控并控制所有操作。如果有一种不在墨西哥或不感兴趣的偶然感染，恶意软件将从受害者的机器远程安装，”研究人员说。 Dark Tequila恶意软件基本上包括6个主要模块，如下所示：

1. 1. C＆C - 这部分恶意软件管理受感染计算机与命令和控制（C＆C）服务器之间的通信，还负责监控中间人攻击以防御恶意软件分析。
2. 2. CleanUp - 在执行规避技术时，如果恶意软件检测到任何“可疑”活动（如在虚拟机或调试工具上运行），它会对受感染系统进行全面清理，删除持久性服务以及其取证存在。
3. 3.键盘记录程序 - 此模块旨在监视系统并记录击键，以窃取预先加载的网站列表（包括银行网站和其他热门网站）的登录凭据。
4. 4.信息窃取程序 - 此密码窃取模块从电子邮件和FTP客户端以及浏览器中提取已保存的密码。
5. 5. USB Infector - 此模块复制自身并通过USB驱动器感染其他计算机。它将可执行文件复制到可移动驱动器，该驱动器在插入其他系统时自动运行。
6. 6.服务监视程序 - 此模块负责确保恶意软件正常运行。

根据研究人员的说法，黑龙舌兰酒活动仍然进行，可以部署在世界任何地方，根据其背后的威胁行动者的利益攻击任何目标。 为了保护自己，建议您始终保持警惕可疑电子邮件并保留良好的防病毒解决方案，以防止此类威胁感染您或您的网络。 最重要的是，避免将不受信任的可移动和USB设备连接到您的计算机，并考虑禁用USB设备上的自动运行。