Online-Banking ist in Lateinamerika weit verbreitet und die Attacke ist ein weiteres Beispiel wie Cyberkriminelle gezielt versuchen von der Online-Banking-Community Geld und vertrauliche Finanzdaten zu erpressen.
Benutzer die im Anschluss den folgenden Link http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm besuchten wurden über eine Dialogbox aufgefordert den Adobe Falsh Player Herunter zu laden und im Anschluss zu Installieren.
(Bildquellen Trend Micro Blog)
Mit einem Klick führt wird die Datei video-de-la-mama-de-paulette.exe Heruntergeladen, Trend Micro erkennt diese als TSPY_MEXBANK.A.
Wärend der Untersuchung gelang es Trend Micro sich zugang zum Command & Control Server zu verschaffen und sich ein Bild von der Funktionsweise des Bots zu machen.
Das Webpanel zeigt alle Dronen mit einer ID-Nummer so wie Funktionen wie Netcat zu starten oder zu Deaktivieren.
Das neu entdeckte Botnetz hat ein ziemlich umfangreiches Feature-Set und verschiedene Module wie Pharming und Adsense die der Herder alle einzeln Konfigurieren kann.Abgesehen davon, kann der Bot dateien via HTTP oder FTP von anderen Servern Herunterladen.
Ein weiteres Future des Tequila Botnet´s ist sich per USB und MSN Messenger über ein weiteres Modul zu verbreiten.
Zur Zeit ist der C&C nicht mehr erreichbar was daran liegen kann das die Betreiber genug Geld gemacht haben oder weitere Module für ihr Spielzeug entwickeln.
02.06.2010 16:48 Uhr
