Nyár végi tequila koktél, csak ez pénzügyi adatokat lop

forrás: Prím Online, 2018. augusztus 23. 12:09

Egy rendkívül fejlett és kifinomult Dark Tequila nevű kiberprogram tombol legalább öt éve Mexikóban: ellopja a bankszámlákhoz tartozó hitelesítő-, valamint a privát- és nagyvállalati adatokat egy olyan kártékony program (malware) segítségével, amely lehetővé teszi, hogy offline is mozgatni lehessen a fájlokat az áldozat számítógépein. 

A Kaspersky Lab szakértői szerint a rosszindulatú kód fertőzött USB eszközökkel és spear phishing adathalász támadások segítségével terjed és olyan funkciókat tartalmaz, amelyek megakadályozzák az észlelését. A vizsgálatok azt mutatják, hogy a Dark Tequila fejlesztője/i spanyolul beszélnek és latin-amerikai származásúak. 

 

Kép forrása: Kaspersky Lab 

 

A Dark Tequila malware és a hozzá tartozó infrastruktúra szokatlanul kifinomult a pénzügyi visszaélések világában. A kibercsapda elsősorban a pénzügyi információk ellopására fókuszál, de amint egy számítógépre bejut, akkor más, népszerű weboldalak hitelesítő adatait is ellopja, mint például e-mail címeket, domain regisztrációkat stb. 

 

Miként már említettük, a malware egy többlépcsős payload-dal (hasznos teher) fertőzött USB-s készülékekkel, valamint spear-phishing e-mailek segítségével terjed. Amint bejut egy számítógépbe, kapcsolatba lép a szerverrel és várja a további utasításokat. A payload csak akkor kerül az áldozat gépére, ha teljesülnek bizonyos hálózati feltételek. Például, ha a malware egy biztonsági megoldást, vagy hálózatfigyelést, vagy egy virtuális sandbox* -ot észlel, akkor leállítja a fertőzést és törli magát. 

 

Kép forrása: Kaspersky Lab 

 

Ha a fentiek közül nem talál semmit, akkor a program aktiválja a lokális fertőzést és lemásol egy végrehajtó fájlt egy külső meghajtóra, amely majd automatikusan futni fog. Ez lehetővé teszi a malware számára, hogy „mozogjon” az áldozat hálózatán offline üzemmódban is, még akkor is, ha csupán egy készüléket támadott meg eredetileg. Például, ha egy másik USB készüléket csatlakoztatnak a fertőzött számítógéphez, akkor az új USB-s eszköz is automatikusan fertőzötté válik és immár készen áll, hogy tovább terjedjen.  

 

A malware tartalmazza a művelethez szükséges összes modult, beleértve egy keyloggert és egy ablak-felügyeleti eszközt, amely rögzít minden bejelentkezéshez szükséges és más privát adatot. A parancsszerver utasításainak megfelelően a különböző modulokat dekódolja és aktiválja. Ezután minden ellopott adatot titkosított formában feltölt a szerverre. 

 

A Dark Tequila 2013. óta működik, és főként mexikói vagy ahhoz kapcsolódó felhasználókat céloz. A Kaspersky Lab elemzései alapján a spanyol szavak jelenléte a kódban és a lokális információk azt sugallják, hogy a fejlesztő/k Latin-Amerikából származhatnak. 

 

„Első ránézésre a Dark Tequila ugyanolyan, mint bármely más trójai, amelyet pénzügyi visszaélésekre használt adatlopásokra terveztek. A mélyebb elemzés, azonban rávilágít a rosszindulatú program összetettségére, ami szokatlan a pénzügyi kibercsapdák terén. A kód moduláris felépítése, a terjesztési- és detektáló mechanizmusai rendkívül fejlettek. Ez a kibercsapda sok éve működik aktívan és egyre több új malware mintát is találtunk. Egyelőre Mexikóban tevékeny, de komplexitása és képességei miatt alkalmas arra, hogy világszerte bárhol támadjon.” – magyarázta Dmitry Bestuzhev, a Kaspersky Lab latin-amerikai kutatási és elemzési csoport részlegének vezetője. 

 

A Kaspersky Lab termékek sikeresen észlelik és blokkolják a Dark Tequila fertőzéseit. 

 

A Kaspersky Lab szakértői az alábbiakat javasolják a felhasználóknak, hogy megelőzzék az adathalász támadásokat, valamint az USB-s eszközökkel terjedő fertőzéseket.

 

Felhasználóknak:

 

Cégeknek:

 

Bővebb információt angol nyelven a Dark Tequila működéséről ezen a linken olvashat. 

 

______________

* A Sandbox egy biztonságos futtatókörnyezetek létrehozását lehetővé tevő technológia, amelynek lényege, hogy egy a külvilágtól gyakorlatilag teljesen elválasztott saját világot hoz létre.