一种代号被称为Dark Tequila的复杂网络攻击行动至少从五年前就开始针对墨西哥的用户实施攻击,利用能够在受害者计算机内离线进行横向移动的恶意软件来窃取银行登录凭证、个人和企业数据。根据卡巴斯基实验室研究,这种恶意代码通过受感染的USB设备和鱼叉式钓鱼攻击进行传播,同时还具有躲避检测的功能。Dark Tequila幕后的网络犯罪组织被认为是使用西班牙语,应该是来自拉丁美洲。
Dark Tequila恶意软件和其支持基础设施具有不同寻常的复杂性,其目的是进行金融欺诈操作。这种威胁主要专注于窃取金融信息,但是一旦进入计算机,它也会窃取其他网站的登录凭证,包括常用网站,还会收集企业和个人邮件地址、域名注册信息和文件存储账户等,之后可能将这些窃取的信息售卖或用于未来的攻击操作中。例如包括Zimbra邮件客户端信息以及Bitbucket、Amazon、GoDaddy、Network Solutions、Dropbox、RackSpace和其他网站信息。
这种恶意软件具有多阶段有效负载,通过受感染的USB设备和鱼叉式钓鱼邮件向用户传播。一旦进入计算机,恶意软件会与它的命令服务器联系,以获取指令。只有在满足特定的技术网络条件时,有效符合才会发送到受害者计算机。如果恶意软件检测到系统上安装了安全解决方案,具有网络监控行为或者有任何迹象显示样本是运行在分析环境(例如虚拟的沙盒中),它会立刻停止感染行为,并将自身从系统中清除。
如果没有发现上述情况,恶意软件会激活本地感染,拷贝一个可执行文件到移动存储介质上并自动运行。这样做能够让恶意软件即使在离线状态下,仍然能够在受害者网络内进行传播,即使只有一台计算机最初经过鱼叉式钓鱼攻击被感染。当另一个USB设备连接到受感染计算机后,会自动被感染,从而可以将恶意软件传播到其他目标计算机上。
恶意植入包含所有进行操作所需要的模块,包括用于捕获登录详细信息和其他个人信息的键盘记录器和窗口监视功能。当het命令服务器指示这样做时,不同的模块会解密和激活。所有盗窃到的数据会以加密的形式上传到服务器。
Dark Tequila至少从2013年开始就已经活跃,针对墨西哥或相关的国家用户进行攻击。根据卡巴斯基实验室分析,该恶意软件的代码中包含西班牙语单词和当地语言证据,表明这次攻击行动幕后的网络犯罪组织来自拉丁美洲。
“初看上去,Dark Tequila与其他网银木马很相似,都是盗窃信息和登陆凭证以获取经济利益。但是深入分析显示,这种复杂程度的恶意软件不经常用于金融威胁中。其代码的模块化结构以及混淆和检测机制帮助它躲避检测,只有在恶意软件认为安全的时候才释放有效负荷。这次的攻击行动已经持续多年,还不断有新的样本被发现。截止到目前,它只对墨西哥的目标实施过攻击,但其技术能力使得其完全可以对世界上任何地区的目标实施攻击,”卡巴斯基实验室拉丁美洲去全球研究和分析团队负责人Dmitry Bestuzhev说。
卡巴斯基实验室产品能够成功检测和拦截Dark Tequila相关恶意软件。
卡巴斯基实验室建议用户采取以下措施来保护自己,抵御鱼叉式钓鱼攻击以及通过可移动存储介质(例如USB)进行的攻击。
对所有用户的建议:
- 打开任何邮件附件之前,使用反病毒安全解决方案对其进行检查
- 关闭USB设备的自动运行功能
- 打开USB驱动器之前,利用反病毒安全解决方案对其进行检查
- 不要轻易连接未知设备和USB存储设备
- 使用能够提供强大的反金融威胁保护的安全解决方案
对企业用户,我们还建议:
- 如果业务上没有需要,请屏蔽用户设备上的USB端口
- 管理USB设备的使用:定义哪些USB设备可以使用,谁可以使用,用来做什么
- 对员工进行USB设备安全应用教育——特别是如果他们会在家用计算机和工作设备上交叉使用USB设备的情况下
- 不要将USB随意放置不管
更多有关Dark Tequila的详情,包括感染迹象,请阅读Securelist上的相关博文。
