Dark Tequila Banking Malware Uncovered After 5 Years of Activity

นักวิจัยด้านความปลอดภัยของ Kaspersky Lab ได้เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ Dark Tequila ซึ่งมีเป้าหมายเป็นลูกค้าของสถาบันการเงินหลายแห่งในเม็กซิโก โดยเผยแพร่มาตั้งแต่ปี 2013 และตรวจพบเลยจนกระทั่งในปี 2018

Dark Tequila ได้รับการออกแบบมาเพื่อขโมยข้อมูลทางการเงินของเหยื่อจากรายชื่อเว็บไซต์ธนาคารออนไลน์ รวมถึงข้อมูลรับรองการเข้าสู่ระบบไปยังเว็บไซต์ยอดนิยม, ที่จัดเก็บเวอร์ชันของโค้ดไปจนถึงบัญชีที่เก็บไฟล์สาธารณะและผู้จดทะเบียนโดเมน

มัลแวร์จะถูกส่งไปยังเครื่องคอมพิวเตอร์ของเหยื่อผ่าน Spear-Phishing หรืออุปกรณ์ USB ที่ติดเชื้อ ซึ่งเพื่อป้องกันการถูกตรวจจับ ก่อนที่จะแพร่เชื้อมัลแวร์จะตรวจสอบว่าคอมพิวเตอร์ที่ติดเชื่อมี AntiVirus หรือ Security Suite ติดตั้งหรือทำงานอยู่หรือไม่ ถ้าไม่มีจึงจะแพร่เชื้อมัลแวร์แบบ Multi-stage Payload

มัลแวร์ Dark Tequila มี 6 โมดูลหลัก ดังนี้
1. C&C - มัลแวร์นี้จะจัดการการติดต่อระหว่างคอมพิวเตอร์ที่ติดเชื้อและ command and control (C&C) server และตรวจสอบการโจมตีแบบ man-in-the-middle เพื่อป้องกันการวิเคราะห์มัลแวร์
2. CleanUp - หากมัลแวร์ตรวจพบพฤติกรรมที่น่าสงสัย เช่นการรันบน virtual machine หรือ debugging tools จะทำการล้างข้อมูลในระบบที่ติดไวรัสและลบหลักฐานที่มีอยู่
3. Keylogger - โมดูลนี้ได้รับการออกแบบมาเพื่อตรวจสอบระบบและบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับรายการที่โหลดไว้ทั้งเว็บไซต์ ทั้งธนาคารและเว็บไซต์ยอดนิยมอื่น ๆ
4. Information Stealer - โมดูลขโมยรหัสผ่านจะดึงข้อมูลรหัสผ่านที่บันทึกไว้จากอีเมลและ FTP clients รวมทั้งเบราว์เซอร์
5. USB Infector - โมดูลนี้จะจำลองตัวเองและติดตั้งคอมพิวเตอร์เครื่องอื่น ๆ ผ่านทาง USB drives และจะ Copy ไฟล์ปฏิบัติการลงในไดรฟ์ ซึ่งจะทำงานโดยอัตโนมัติเมื่อเสียบเข้ากับระบบอื่น ๆ
6. Service Watchdog - โมดูลนี้มีหน้าที่ในการตรวจสอบให้แน่ใจว่ามัลแวร์กำลังทำงานอย่างถูกต้อง

รายชื่อเป้าหมาย ได้แก่ Cpanels, Plesk, ระบบจองเที่ยวบินออนไลน์, Microsoft Office 365, ลูกค้า IBM Lotus Notes, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace และบริการอื่น ๆ

ข้อแนะนำ
- ควรระมัดระวังในการเปิดอีเมลที่น่าสงสัยและลง Anti-virus ที่น่าเชื่อถือบนเครื่อง
- หลีกเลี่ยงการเชื่อมต่ออุปกรณ์ USB เข้ากับคอมพิวเตอร์ และปิดการทำงานอัตโนมัติบนอุปกรณ์ USB

ที่มา:thehackernews