人工客服
獲取報價
獲取資料
方案定制
項目合作
售后服務
咨詢熱線
400-608-6677 轉810
400-608-6677 轉810
2019-03-28
2363
神州明達-小明
卡巴斯基實驗室(Kaspersky Labs)的安全研究人員在最近發現了一款針對墨西哥計算機用戶的惡意軟件,名為“Dark Tequila”。值得注意的是,Dark Tequila并非是在最近才被開發出來的。相反,基于該惡意軟件的攻擊活動至少可以追溯到2013年。也就是說,該惡意軟件至少已經在墨西哥肆虐了長達5年的時間。研究人員表示,Dark Tequila的開發者為其使用了多種規避安全檢測的技術,如它能夠檢測自身是否運行在虛擬機或調試工具上。另外,再加上攻擊者在選擇攻擊目標上極具針對性(僅針對了幾家墨西哥銀行的客戶),使得它一直活躍至今才被發現。
Dark Tequila被設計為從在線銀行網站竊取受害者的財務信息(這涉及到一份包含眾多在線銀行網站的預置列表),以及從一些熱門網站竊取受害者的登錄憑證(同樣涉及到一份包含眾多網站的預置列表,包括在線代碼存儲倉庫、在線文件共享網站以及域名注冊商)。
總的來講,包含在預置列表中的目標網站有:通用的Cpanel虛擬機控制系統、Plesk虛擬機控制系統、在線機票預訂系統、Microsoft Office 365、IBM Lotus Notes客戶端、Zimbra電子郵箱、源代碼托管網站Bitbucket、亞馬遜、域名注冊商GoDaddy、域名注冊商Register、域名注冊商Namecheap、Dropbox網盤、SoftLayer(目前全球最大的IDC公司)、Rackspace(托管服務器及云計算提供商)以及其他一些服務。
應該注意的是,惡意軟件是通過魚叉式網絡釣魚或者受感染的USB設備上傳到受害者計算機上的。在成功上傳之后,它首先會進行各種檢查,這包括檢查計算機是否安裝了防病毒軟件,或者自身是否運行在分析環境中。只有在確保“安全”之后,它才會真正開始執行其惡意行為。
根據卡巴斯基實驗室研究人員的說法,Dark Tequila惡意軟件基本上包括6個主要模塊,如下所示:
C&C-此模塊負責管理受感染計算機與命令和控制(C&C)服務器之間的通信,還負責監控中間人攻擊,以防止惡意軟件分析;
CleanUp-在執行規避技術時,如果惡意軟件檢測到任何“可疑”活動(如在虛擬機或調試工具上運行),它會對受感染系統進行全面清理、刪除持久性服務以及其他取證工具;
Keylogger-這個模塊被設計為用來監視系統并記錄擊鍵,以竊取預置列表中網站(包括銀行網站和其他熱門網站)的登錄憑證;
Information Stealer-此信息竊取模塊能夠從電子郵件和FTP客戶端以及瀏覽器中提取已保存的密碼;
USB Infector-這個模塊能夠復制惡意軟件并通過USB驅動器感染其他計算機。當有新的可移動驅動器插入受感染計算機時,它能夠將可執行文件復制過去,并在該驅動程序插入其他計算機時自動運行;
Service Watchdog-此模塊負責確保惡意軟件正常運行。
研究人員強調,Dark Tequila惡意軟件目前仍在被使用。雖然到目前為止它僅被用于針對墨西哥銀行的客戶,但它完全可以用于其他國家或地區,甚至是針對任何行業,而這完全取決于攻擊者的利益目標。
正如上文中所描述的那樣,Dark Tequila只要是通過電子郵件和受感染的USB設備來傳播的。因此,警惕任何可疑電子郵件以及在使用任何USB設備之前對其進行病毒掃描,是你預防此類威脅的最直接辦法。
