黑暗龙舌兰银行恶意软件发现后，5年的活动

卡巴斯基实验室的安全研究人员发现了一个新的、复杂的恶意软件活动，该活动至少从2013年以来一直针对多家墨西哥银行机构的客户。

深色龙舌兰酒，该活动提供了一种先进的键盘记录恶意软件，由于其高度的针对性和一些规避技术，该软件成功地在雷达下隐藏了五年。

Dark Tequila的主要设计目的是从一长串网上银行网站窃取受害者的财务信息，以及从代码版本存储库到公共文件存储帐户和域注册器等热门网站的登录凭据。
研究人员在一篇博客文章中称，目标网站包括“Cpanels、Plesk、在线航班预订系统、Microsoft Office 365、IBM Lotus Notes客户端、Zimbra电子邮件、Bitbucket、亚马逊、GoDaddy、Register、Name便宜、Dropbox、Softlayer、Rackspace和其他服务”。

该恶意软件首先通过鱼叉式网络钓鱼或受感染的USB设备传送到受害者的计算机。

一旦执行，多阶段有效载荷仅在满足某些条件后才会感染受害者的计算机，包括检查受感染的计算机是否安装了任何防病毒或安全套件，或者是否在分析环境中运行。

除此之外，研究人员说，“背后的威胁行为人严格监控和控制所有操作。如果发生偶然感染，而该感染不在墨西哥或不感兴趣，则会从受害者的机器上远程卸载该恶意软件”。

Dark Tequila恶意软件基本上包括6个主要模块，如下所示：

1. 恶意软件的这一部分管理受感染计算机与指挥与控制（C&C）服务器之间的通信，还负责监控中间人攻击，以抵御恶意软件分析。
2. 清理– 在执行规避技术时，如果恶意软件检测到任何“可疑”活动，比如在虚拟机或调试工具上运行，它对受感染的系统进行全面清理，删除持久性服务以及其存在的法医证据。
3. 键盘记录器，该模块设计用于监控系统并记录击键以窃取预加载网站列表的登录凭据，包括银行和其他热门网站。
4. 信息窃取者， 这个密码窃取模块从电子邮件和FTP客户端以及浏览器中提取保存的密码。
5. USB感染器，该模块会自我复制，并通过USB驱动器感染其他计算机。它将一个可执行文件复制到一个可移动驱动器上，当插入其他系统时，该驱动器会自动运行。
6. 服务监督机构， 该模块负责确保恶意软件正常运行。

据研究人员称，黑龙舌兰酒运动仍然活跃，可以部署在世界任何地方，“根据其背后的威胁行为者的利益”攻击任何目标

为了保护您自己，建议您始终警惕可疑电子邮件，并在此类威胁感染您或您的网络之前，保持良好的防病毒解决方案，以防止此类威胁。

最重要的是，避免将不受信任的可拆卸和USB设备连接到您的计算机上，并考虑禁用USB设备上的自动运行。