Dark Tequila Banking Malware découvert après 5 ans d’activité

Les chercheurs en sécurité de Kaspersky Labs ont découvert une nouvelle campagne de logiciels malveillants complexe ciblant les clients de plusieurs institutions bancaires mexicaines depuis au moins 2013.

Cette campagne, baptisée Dark Tequila , délivre un logiciel malveillant avancé de cinq ans. à sa nature très ciblée et à quelques techniques d’évasion.

Dark Tequila a été principalement conçu pour voler les informations financières des victimes à partir d’une longue liste de sites de banque en ligne, ainsi que les identifiants de connexion à des sites Web populaires, allant des référentiels de version de code aux comptes de stockage de fichiers publics.

La liste des sites ciblés inclut « Cpanels, Plesk, systèmes de réservation de vols en ligne, Microsoft Office 365, clients IBM Lotus Notes, messagerie électronique Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace et autres services ». les chercheurs disent dans un billet de blog .

Le logiciel malveillant est livré en premier lieu aux ordinateurs des victimes via des périphériques USB infectés ou de phishing.

Une fois exécutée, une charge utile à plusieurs étapes infecte l’ordinateur de la victime uniquement après que certaines conditions ont été remplies, ce qui inclut la vérification de la présence ou non d’une suite antivirus ou de sécurité sur l’ordinateur infecté dans un environnement d’analyse.

En outre, "l’acteur de la menace derrière surveille et contrôle strictement toutes les opérations. S’il y a une infection occasionnelle, qui n’est pas au Mexique ou qui ne l’intéresse pas, le malware est désinstallé à distance de la machine de la victime", expliquent les chercheurs.

Le malware Dark Tequila comprend essentiellement 6 modules principaux, comme suit :

  • 1. C & C - Cette partie du logiciel malveillant gère la communication entre l’ordinateur infecté et le serveur de commande et de contrôle et est également responsable de la surveillance des attaques man-in-the-middle pour se défendre contre l’analyse des logiciels malveillants.
  • 2. Nettoyage - Lors de l’exécution de techniques d’évasion, si le logiciel malveillant détecte une activité « suspecte » exécutée sur une machine virtuelle ou des outils de débogage, il effectue un nettoyage complet du système infecté, supprimant ainsi le service de persistance. présence.
  • 3. Keylogger - Ce module a été conçu pour surveiller le système et enregistrer les frappes de touches pour voler les informations de connexion pour une liste préchargée de sites Web, aussi bien bancaires que d’autres sites populaires.
  • 4. Stealer d’informations - Ce module de vol de mot de passe extrait les mots de passe enregistrés des clients de messagerie et FTP, ainsi que des navigateurs.
  • 5. Infector USB - Ce module se réplique et infecte des ordinateurs supplémentaires via des lecteurs USB. Il copie un fichier exécutable sur un lecteur amovible qui s’exécute automatiquement lorsqu’il est connecté à d’autres systèmes.
  • 6. Watchdog de service - Ce module est chargé de s’assurer que le malware fonctionne correctement.

Selon les chercheurs, la campagne Dark Tequila est toujours active et peut être déployée dans n’importe quelle partie du monde pour attaquer n’importe quelle cible "selon les intérêts de l’acteur de la menace derrière elle".

Pour vous protéger, il est recommandé de toujours être vigilant en ce qui concerne les e-mails suspects et de conserver une solution antivirus efficace pour vous protéger contre de telles menaces avant qu’elles n’infectent votre réseau ou vous-même.

Plus important encore, évitez de connecter des périphériques USB et amovibles non approuvés à votre ordinateur et de désactiver l’auto-exécution sur les périphériques USB.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image