Nyár végi tequila koktél, csak ez pénzügyi adatokat lop
Egy rendkívül fejlett és kifinomult Dark Tequila nevű kiberprogram tombol legalább öt éve Mexikóban: ellopja a bankszámlákhoz tartozó hitelesítő-, valamint a privát- és nagyvállalati adatokat egy olyan kártékony program (malware) segítségével, amely lehetővé teszi, hogy offline is mozgatni lehessen a fájlokat az áldozat számítógépein.
A Kaspersky Lab szakértői szerint a rosszindulatú kód fertőzött USB eszközökkel és spear phishing adathalász támadások segítségével terjed és olyan funkciókat tartalmaz, amelyek megakadályozzák az észlelését. A vizsgálatok azt mutatják, hogy a Dark Tequila fejlesztője/i spanyolul beszélnek és latin-amerikai származásúak.
Kép forrása: Kaspersky Lab
A Dark Tequila malware és a hozzá tartozó infrastruktúra szokatlanul kifinomult a pénzügyi visszaélések világában. A kibercsapda elsősorban a pénzügyi információk ellopására fókuszál, de amint egy számítógépre bejut, akkor más, népszerű weboldalak hitelesítő adatait is ellopja, mint például e-mail címeket, domain regisztrációkat stb.
Miként már említettük, a malware egy többlépcsős payload-dal (hasznos teher) fertőzött USB-s készülékekkel, valamint spear-phishing e-mailek segítségével terjed. Amint bejut egy számítógépbe, kapcsolatba lép a szerverrel és várja a további utasításokat. A payload csak akkor kerül az áldozat gépére, ha teljesülnek bizonyos hálózati feltételek. Például, ha a malware egy biztonsági megoldást, vagy hálózatfigyelést, vagy egy virtuális sandbox* -ot észlel, akkor leállítja a fertőzést és törli magát.
Kép forrása: Kaspersky Lab
Ha a fentiek közül nem talál semmit, akkor a program aktiválja a lokális fertőzést és lemásol egy végrehajtó fájlt egy külső meghajtóra, amely majd automatikusan futni fog. Ez lehetővé teszi a malware számára, hogy „mozogjon” az áldozat hálózatán offline üzemmódban is, még akkor is, ha csupán egy készüléket támadott meg eredetileg. Például, ha egy másik USB készüléket csatlakoztatnak a fertőzött számítógéphez, akkor az új USB-s eszköz is automatikusan fertőzötté válik és immár készen áll, hogy tovább terjedjen.
A malware tartalmazza a művelethez szükséges összes modult, beleértve egy keyloggert és egy ablak-felügyeleti eszközt, amely rögzít minden bejelentkezéshez szükséges és más privát adatot. A parancsszerver utasításainak megfelelően a különböző modulokat dekódolja és aktiválja. Ezután minden ellopott adatot titkosított formában feltölt a szerverre.
A Dark Tequila 2013. óta működik, és főként mexikói vagy ahhoz kapcsolódó felhasználókat céloz. A Kaspersky Lab elemzései alapján a spanyol szavak jelenléte a kódban és a lokális információk azt sugallják, hogy a fejlesztő/k Latin-Amerikából származhatnak.
„Első ránézésre a Dark Tequila ugyanolyan, mint bármely más trójai, amelyet pénzügyi visszaélésekre használt adatlopásokra terveztek. A mélyebb elemzés, azonban rávilágít a rosszindulatú program összetettségére, ami szokatlan a pénzügyi kibercsapdák terén. A kód moduláris felépítése, a terjesztési- és detektáló mechanizmusai rendkívül fejlettek. Ez a kibercsapda sok éve működik aktívan és egyre több új malware mintát is találtunk. Egyelőre Mexikóban tevékeny, de komplexitása és képességei miatt alkalmas arra, hogy világszerte bárhol támadjon.” – magyarázta Dmitry Bestuzhev, a Kaspersky Lab latin-amerikai kutatási és elemzési csoport részlegének vezetője.
A Kaspersky Lab termékek sikeresen észlelik és blokkolják a Dark Tequila fertőzéseit.
A Kaspersky Lab szakértői az alábbiakat javasolják a felhasználóknak, hogy megelőzzék az adathalász támadásokat, valamint az USB-s eszközökkel terjedő fertőzéseket.
Felhasználóknak:
- Ellenőrizze vírusírtó programmal az emailek csatolmányait, mielőtt megnyitná
- Kapcsolja ki az USB-készülékek automatikus futtatását
- Ellenőrizze az USB-készülék tartalmát vírusírtó programmal, mielőtt megnyitná
- Ne használjon ismeretlen helyről származó USB-s eszközt
- Használjon eredményes informatikai biztonsági programot
Cégeknek:
- Ha nem szükséges az üzleti tevékenységhez, akkor blokkolja az USB portokat
- Ha szükséges, akkor alakítson ki USB használat szabályzatot: ki, mikor, mire használhatja
- Fejlessze a munkavállalók informatikai képzettségét
- Ne hagyjon őrizetlenül USB készüléket
Bővebb információt angol nyelven a Dark Tequila működéséről ezen a linken olvashat.
______________
* A Sandbox egy biztonságos futtatókörnyezetek létrehozását lehetővé tevő technológia, amelynek lényege, hogy egy a külvilágtól gyakorlatilag teljesen elválasztott saját világot hoz létre.
Kapcsolódó cikkek
- Különböző félelmek, azonos problémák
- Havonta 23.000 Androidos készülék tűnik el világszerte
- Bemutatkoznak a mobilszörnyek – II. rész
- 400 ipari szervezet ellen indítottak adathalász támadásokat
- Mindig van új a nap alatt
- Fejlett kártevők elleni mobilvédelmet fejlesztett ki a Kaspersky Lab
- Eltűntek a mobil reklám trójai programok, bányászok vették át a helyüket
- Vigyázat, pornóval támadnak!
- Füstöl a zsebe? A trójai vírus az ön készülékében van!
- Ön még nem bányászik?