Keylogger gemte sig hos mexicanske bankkunder i årevis: Dark Tequila afsløret

Illustration: Jesper Stein Sandal
I princippet er malwaren som trussel ikke begrænset til Mexico og kan udbredes til andre lande, skulle bagmændene få lyst.

Sikkerhedsforskere fra Kaspersky har optrevlet en ny, kompleks malwarekampagne, der siden 2013, og muligvis endnu længere, har målrettet og kompromitteret mexicanske bankkunder og borgere generelt.

Kampagnen, der er blevet døbt ‘Dark Tequila', har fungeret som en avanceret keylogger, der efter at have inficeret en enhed optog, hvad der blev indtastet på den. Få, men effektive undvigelsesteknikker i malwaren har gjort den svær at finde.

Den er stadig aktiv, og kan i princippet startes hvor end i verden, man burde have lyst til det. Det tyder dog på, at den stort set er begrænset til Mexico.

Angriberne har primært forsøgt at skaffe brugernes logins til diverse banker, men også til andre sider. Blandt andet kode-versioneringssider og logins tilhørende domæneadministratorer. Det skriver The Hacker News.

Keyloggeren aktiveres af følgende programmer og sider;

Cpanels, Plesk, flyserverings-sider, Microsoft Office 365, IBM Lotus Notesklienter, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace samt flere andre, skriver sikkerhedsforskerne fra Kaspersky i et blogindlæg.

Inficeret via USB

Malwaren rammer ofrene på klassisk vis gennem inficerede USB-drev. Når friske drev tilkobles computeren efterfølgende, inficeres de med Dark Tequila.

Så snart malwaren aktiveres, starter en infektion, der sker i flere trin. Men først sikrer malwaren, at der er fri bane.

Det gør den ved at se, om enheden har en aktiv antivirusinstallation, eller om malwaren kører i et analyse-miljø. Det er især dette, der har gjort det muligt for malwaren at gemme sig så længe; Den hopper ikke på de mest simple honeypots.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere