卡巴斯基实验室(Kaspersky Labs)的安全研究人员在最近发现了一款针对墨西哥计算机用户的恶意软件,名为“Dark Tequila”。值得注意的是,Dark Tequila并非是在最近才被开发出来的。相反,基于该恶意软件的攻击活动至少可以追溯到2013年。也就是说,该恶意软件至少已经在墨西哥肆虐了长达5年的时间。
研究人员表示,Dark Tequila的开发者为其使用了多种规避安全检测的技术,如它能够检测自身是否运行在虚拟机或调试工具上。另外,再加上攻击者在选择攻击目标上极具针对性(仅针对了几家墨西哥银行的客户),使得它一直活跃至今才被发现。
Dark Tequila被设计为从在线银行网站窃取受害者的财务信息(这涉及到一份包含众多在线银行网站的预置列表),以及从一些热门网站窃取受害者的登录凭证(同样涉及到一份包含众多网站的预置列表,包括在线代码存储仓库、在线文件共享网站以及域名注册商)。
总的来讲,包含在预置列表中的目标网站有:通用的Cpanel虚拟机控制系统、Plesk虚拟机控制系统、在线机票预订系统、Microsoft Office 365、IBM Lotus Notes客户端、Zimbra电子邮箱、源代码托管网站Bitbucket、亚马逊、域名注册商GoDaddy、域名注册商Register、域名注册商Namecheap、Dropbox网盘、SoftLayer(目前全球最大的IDC公司)、Rackspace(托管服务器及云计算提供商)以及其他一些服务。
应该注意的是,恶意软件是通过鱼叉式网络钓鱼或者受感染的USB设备上传到受害者计算机上的。在成功上传之后,它首先会进行各种检查,这包括检查计算机是否安装了防病毒软件,或者自身是否运行在分析环境中。只有在确保“安全”之后,它才会真正开始执行其恶意行为。
根据卡巴斯基实验室研究人员的说法,Dark Tequila恶意软件基本上包括6个主要模块,如下所示:
C&C-此模块负责管理受感染计算机与命令和控制(C&C)服务器之间的通信,还负责监控中间人攻击,以防止恶意软件分析;
CleanUp -在执行规避技术时,如果恶意软件检测到任何“可疑”活动(如在虚拟机或调试工具上运行),它会对受感染系统进行全面清理、删除持久性服务以及其他取证工具;
Keylogger-这个模块被设计为用来监视系统并记录击键,以窃取预置列表中网站(包括银行网站和其他热门网站)的登录凭证;
Information Stealer-此信息窃取模块能够从电子邮件和FTP客户端以及浏览器中提取已保存的密码;
USB Infector-这个模块能够复制恶意软件并通过USB驱动器感染其他计算机。当有新的可移动驱动器插入受感染计算机时,它能够将可执行文件复制过去,并在该驱动程序插入其他计算机时自动运行;
Service Watchdog-此模块负责确保恶意软件正常运行。
研究人员强调,Dark Tequila恶意软件目前仍在被使用。虽然到目前为止它仅被用于针对墨西哥银行的客户,但它完全可以用于其他国家或地区,甚至是针对任何行业,而这完全取决于攻击者的利益目标。
正如上文中所描述的那样,Dark Tequila只要是通过电子邮件和受感染的USB设备来传播的。因此,警惕任何可疑电子邮件以及在使用任何USB设备之前对其进行病毒扫描,是你预防此类威胁的最直接办法。