W Ameryce Łacińskiej rozpanoszyła się Dark Tequila

21-08-2018, 19:49

Mieszkańcy Meksyku stanowili cel operacji o nazwie Dark Tequila, prowadzonej od co najmniej pięciu lat i ukierunkowanej na kradzież danych uwierzytelniających transakcje bankowe, dane osobowe i firmowe. Używano do tego szkodliwego oprogramowania, potrafiącego rozprzestrzeniać się w komputerze ofiary bez dostępu do internetu.

Szkodliwe oprogramowanie Dark Tequila i wspierająca je infrastruktura są niezwykle wyrafinowane jak na operację w ramach oszustwa finansowego. Zagrożenie jest skoncentrowane głównie na kradzieży informacji finansowych, jednak po przedostaniu się na komputer przesyła również dane uwierzytelniające dostęp do innych stron, w tym popularnych serwisów internetowych, przechwytując firmowe i prywatne adresy e-mail, konta w serwisach magazynowania plików itd. prawdopodobnie w celu sprzedaży lub wykorzystania w przyszłych operacjach. Przykładem mogą być klienty pocztowe Zimbra oraz strony internetowe Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace i inne.

Szkodliwe oprogramowanie zawiera wielofazową szkodliwą funkcję i jest rozprzestrzeniane do użytkowników za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych. Po przedostaniu się do komputera szkodliwe oprogramowanie nawiązuje kontakt ze swoim serwerem kontroli w celu otrzymania instrukcji. Szkodliwa funkcja zostanie dostarczona ofierze tylko wtedy, gdy zostaną spełnione określone warunki techniczne. Jeżeli szkodliwe oprogramowanie wykryje zainstalowane rozwiązanie bezpieczeństwa, proces monitorowania sieci lub oznaki wskazujące na uruchomienie próbki w systemie przeznaczonym do analizy (np. maszynie wirtualnej), zatrzymuje procedurę infekcji i usuwa się z systemu.

Jeżeli żadne z powyższych działań nie zostanie wykryte, szkodliwe oprogramowanie aktywuje lokalną infekcję i kopiuje plik wykonywalny na dysk przenośny w celu automatycznego uruchomienia. W ten sposób szkodliwe oprogramowanie będzie mogło poruszać się offline w sieci ofiary, nawet jeśli początkowo za pomocą phishingu zainfekowana została tylko jedna maszyna. Gdy do zainfekowanego komputera zostanie podłączone inne urządzenie USB, zostanie ono automatycznie zainfekowane i będzie gotowe do rozprzestrzeniania szkodliwego oprogramowania do innego urządzenia.

Szkodliwy implant zawiera wszystkie moduły niezbędne do działania, w tym narzędzie przechwytujące znaki wprowadzane z klawiatury (tzw. keyloggera) oraz możliwość monitorowania okien w celu przechwytywania danych dot. logowania oraz innych informacji osobowych. Odpowiednio poinstruowane przez serwer kontroli moduły szkodnika przeprowadzają deszyfrację i aktywację. Wszystkie skradzione dane są przesyłane na serwer w formie zaszyfrowanej.

Ugrupowanie Dark Tequila było aktywne co najmniej od 2013 r. i atakowało użytkowników zlokalizowanych w Meksyku lub związanych z tym państwem.

Źródło: Kaspersky Lab


Następny artykuł » zamknij

Benefity w branży IT

Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy