Dark Tequila: un malware bancar complex care vizeaza America Latina din 2013

Dark Tequila: un malware bancar complex care vizeaza America Latina din 2013


O operatiune cibernetica sofisticata, denumita Dark Tequila, i-a vizat pe utilizatorii din Mexic timp de cel putin cinci ani, furand date bancare de autentificare, informatii despre utilizatori individuali si despre companii, cu un malware care poate sa „circule” prin computerul victimei in timp ce acesta este offline. Potrivit cercetatorilor Kaspersky Lab, codul malware se raspandeste prin intermediul dispozitivelor USB infectate si al phishing-ului directionat si include functii menite sa evite detectia. Se crede ca autorul din spatele Dark Tequila este vorbitor de limba spaniola si provine din America Latina.

Utilizatorii de internet trebuie sa fie vigilenti intr-o lume online foarte efervescenta. In Romania, unele dintre cele mai accesate sectoare de online media sunt cele din zona de sport (si jocuri gen cele prezentate pe Promopariuri), monden, stiri, retele de socializare, bloguri si vloguri.

Malware-ul Dark Tequila si infrastructura suport sunt neobisnuit de sofisticate pentru operatiuni de frauda financiara. Amenintarea se concentreaza in principal pe furtul de informatii financiare, dar odata ajunsa in interiorul unui computer, fura si datele de autentificare de pe alte site-uri, inclusiv de pe unele populare, colectand adrese de e-mail personale si de business, domenii, conturi de stocare de fisiere si altele – care urmau probabil sa fie vandute sau folosite in operatiuni viitoare. Exemplele includ clientii de e-mail Zimbra si site-uri pentru Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace.

Programul malware are mai multe etape de infectare si este distribuit catre utilizatori prin intermediul unor dispozitive USB infectate si al e-mail-urilor de phishing directionat. Odata ajuns in computer, malware-ul ia legatura cu serverul de comanda si control pentru a primi instructiuni. Procesul de infectare a victimei are loc numai daca sunt indeplinite cateva conditii tehnice ale retelei. Daca malware-ul detecteaza o solutie de securitate instalata, activitate de monitorizare a retelei sau semne ca mostra este analizata intr-un mediu precum un sandbox virtual, opreste procesul de infectare si dispare din sistem.

Daca nu este detectat niciunul dintre aceste indicii, malware-ul activeaza infectarea locala si copiaza un fisier executabil pe un drive extern, pentru a fi lansat automat. Acest lucru ii permite malware-ului sa circule offline prin reteaua victimei, chiar si in situatia in care a fost compromis numai un dispozitiv, prin intermediului phishing-ului directionat. Atunci cand un alt USB este conectat la un computer compromis, este si el infectat automat si gata sa raspandeasca malware-ul asupra altei tinte.

Implantul periculos contine toate modulele necesare pentru operatiune, inclusiv un key-logger si capacitatea de monitorizare a ferestrelor pentru a obtine datele de login si alte informatii personale. Atunci cand primesc comanda de la serverul de comanda si control, se activeaza diverse module. Toate datele furate sunt incarcate pe server in forma criptata.

Dark Tequila a fost activ din 2013, vizand utilizatorii din Mexic sau care au legatura cu aceasta tara. Pe baza analizei Kaspersky Lab, prezenta cuvintelor spaniole in cod si dovada unor cunostinte despre acea zona sugereaza faptul ca autorii acestei operatiuni sunt din America Latina.

„La prima vedere, Dark Tequila arata ca orice alt troian bancar, care vaneaza informatii si date de autentificare pentru a obtine castiguri financiare, insa o analiza mai atenta arata o complexitate a malware-ului rar intalnita la amenintarile financiare”, spune Dmitry Bestuzhev, Head of Global Research and Analysis Team, America Latina, Kaspersky Lab. „Structura modulara a codului si capacitatea sa de a se ascunde il ajuta sa evite mecanismele de detectie si sa declanseze procesul de infectare doar cand decide ca este sigur sa procedeze astfel. Aceasta campanie a fost activa timp de mai multi ani si sunt gasite inca noi mostre. Pana in prezent a atacat doar tinte din Mexic, dar are capacitatea tehnica de a ataca victime din orice parte a lumii.”

Produsele Kaspersky Lab detecteaza si blocheaza malware-ul din categoria Dark Tequila.

Kaspersky Lab le recomanda utilizatorilor sa ia urmatoarele masuri pentru a se proteja de phishing si de atacuri realizate prin intermediul dispozitivelor externe, cum sunt USB-urile.

Toti utilizatorii:

  • Verificati anexele e-mail-urilor cu solutia antivirus, inainte de a le deschide
  • Dezactivati auto-run-ul pentru dispozitivele USB
  • Verificati driverele USB cu solutia antivirus, inainte de a le deschide
  • Nu conectati dispozitive necunoscute si stick-uri USB la dispozitivul detinut
  • Folositi o solutie de securitate cu protectie suplimentara solida impotriva amenintarilor financiare.

Companiile sunt sfatuite, in plus:

  • Daca nu sunt necesare pentru companie, blocati porturile USB de pe dispozitivele utilizatorilor
  • Asigurati-va ca gestionati corespunzator folosirea dispozitivelor USB: stabiliti ce USB-uri pot fi folosite, de catre cine si in ce scop
  • Informati angajatii asupra practicilor sigure in legatura cu USB-urile – mai ales daca dispozitivul este plimbat intre computerul de acasa si cel de serviciu.
  • Nu lasati USB-urile la vedere.

 Pentru mai multe informatii despre Dark Tequila, inclusiv indicatorii de compromitere, cititi articolul de pe Securelist.

+ There are no comments

Add yours

*

Acest formular vă colectează numele, e-mailul și conținutul, astfel încât să putem urmări comentariile plasate pe site. Pentru mai multe informații, consultați politica noastră de confidențialitate, unde veți primi mai multe informații despre unde, cum și de ce stocăm datele dvs.

DA, sunt de acord