Dark Tequila zararlı yazılımı ve onu destekleyen altyapı, finansal dolandırıcılık faaliyetlerinde görülmeye alışık olmadığı derecede gelişmiş. Tehdit temel olarak finansal bilgileri çalmaya odaklanıyor. Ancak, bir bilgisayara girdikten sonra popüler websiteleri de dahil diğer sitelere giriş bilgilerini alıyor, iş ve kişisel e-posta adreslerini, alan adı kayıtlarını, dosya depolama hesaplarını ve daha fazlasını da satmak veya gelecekteki faaliyetlerinde kullanmak için topluyor. Zimbra e-posta müşterileri ve Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace gibi websiteleri bunlara örnek verilebilir.
Çok katmanlı bir yapıya sahip olan zararlı yazılım, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırıları üzerinden kullanıcılara dağıtılıyor. Zararlı yazılım bilgisayara girdikten sonra, talimat almak için kendi komut sunucusuyla bağlantı kuruyor. Yazılımın taşıdığı yük ancak belirli teknik ağ koşulları sağlandığında kurbana ulaşıyor. Zararlı yazılım; kurulu bir güvenlik çözümü, ağ izleme faaliyeti veya sanal elek gibi bir analiz ortamında çalıştığına dair işaret tespit ettiğinde bulaşma sürecini durdurup kendini sistemden siliyor.
Bunların hiçbirinin olmadığı durumda ise zararlı yazılım yerel bulaşma sürecini etkinleştiriyor ve otomatik çalışmak için, çıkarılabilir bir sürücünün içine çalıştırılabilir bir dosya kopyalıyor. Böylece zararlı yazılım, kurbanın ağında ağ bağlantısı olmadan da hareket edebiliyor. Hedef odaklı kimlik avı saldırısı yoluyla yalnızca tek bir makine de etkilense bu durum geçerli oluyor. Zararlı yazılımın bulaştığı bilgisayara bir USB takıldığında, o cihaz da otomatik olarak etkileniyor ve zararlı yazılımı başka bir hedefe bulaştırmaya hazır hale geliyor.
Zararlı parçada, giriş bilgileri ve diğer kişisel verileri toplamak için basılan tuşları kaydetme ve pencere izleme gibi gerekli tüm modüller bulunuyor. Komut sunucusundan talimat gönderildiğinde diğer modüller de çözülüp aktif hale geliyor. Çalınan tüm veriler sunucuya şifreli bir şekilde yükleniyor.
Dark Tequila en az 2013’ten bu yana Meksika’da ve bu ülkeyle bağlı yerlerde faaliyet gösteriyor. Kaspersky Lab’in analizlerine göre kodda bulunan İspanyolca kelimeler ve yerel bilgiler, operasyonun arkasındaki tehdit grubunun Latin Amerika’dan olduğunu gösteriyor.
Kaspersky Lab Latin Amerika Global Araştırma ve Analiz Ekibi Lideri Dmitry Bestuzhev şunları söyledi :
“Dark Tequila ilk bakışta, finansal getiri için kimlik bilgileri toplayan diğer herhangi bir bankacılık Truva Atına benziyor. Ancak daha detaylı analiz yapıldığında, finansal tehditlerde pek sık görmediğimiz düzeyde karmaşık olan bir zararlı yazılım ortaya çıkıyor. Kodun modüler yapısı, gizlenme ve tespit mekanizmaları keşfedilmekten kaçınmasına ve zararlı yükünü yalnızca güvenli olduğunu düşündüğü zaman boşaltmasına yardımcı oluyor. Bu saldırı yıllardır etkin ve yeni örnekler bulmaya devam ediyoruz.Bugüne kadar yalnızca Meksika’daki kullanıcılar hedef alındı fakat yazılımın teknik kapasitesi dünyanın herhangi bir yerine saldırı düzenlemeye uygun.”
Kaspersky Lab, kullanıcılara kendilerini hedef odaklı kimlik avı saldırılarına ve USB’ler gibi çıkarılabilir medyalar üzerinden yayılan saldırılara korumaları için şu önlemleri almalarını tavsiye ediyor.
Herkes için geçerli olan önlemler:
- Tüm e-posta eklerini, açmadan önce anti-virüs güvenliği ile kontrol edin.
- USB cihazların otomatik çalışma özelliğini devre dışı bırakın.
- USB sürücüleri açmadan önce anti-virüs güvenliği ile kontrol edin.
- Bilmediğiniz cihazları ve USB bellekleri bilgisayarınıza takmayın.
- Finansal tehditlere karşı sağlam ek önlemlere sahip bir güvenlik çözümü kullanın.
Şirketlere ayrıca şunlar öneriliyor:
- İş için gerekli değilse kullanıcı cihazlarındaki USB girişlerini kapatın.
- USB cihaz kullanımını yönetin. Hangi USB cihazlarının, kimler tarafından, ne için kullanılacağını belirleyin.
- Özellikle ev ve iş bilgisayarı arasında taşınan cihazlar varsa USB kullanımı hakkında çalışanlarınıza eğitim verin.
- USB’leri etrafta görünür şekilde bırakmayın.
Sızma Belirtileri de dahil olmak üzere Dark Tequila hakkında daha fazla bilgi içinSecurelistadresindeki blog yazısını okuyabilirsiniz.
Kaynak : 