Dyre金融木馬大約在一年前出現(xiàn),并且目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對(duì)全球1,000多家銀行和其他公司的客戶進(jìn)行欺詐。在英語國家,尤其是美國和英國的客戶面臨最大的風(fēng)險(xiǎn),這是因?yàn)楸绘i定為攻擊目標(biāo)的銀行大部分位于這些國家。
在Gameover Zeus、Shylock和RamnIT 等幾個(gè)重大金融威脅相繼被打擊后,由這些組織所造成的威脅已經(jīng)削弱,但Dyre現(xiàn)在已經(jīng)取而代之,成為普通客戶所面臨的主要威脅之一。
賽門鐵克公司檢測(cè)發(fā)現(xiàn),Dyre的文件名為 Infostealer.Dyre,以Windows計(jì)算機(jī)為攻擊目標(biāo),并且能夠通過攻擊三款主流Web瀏覽器(Internet Explorer、Chrome和Firefox)竊取銀行憑證和其他憑證。
此外,Dyre將構(gòu)成雙重威脅。除竊取憑證外,它還能夠向受害者傳染其他類型的惡意軟件,例如將用戶添加至垃圾郵件僵尸網(wǎng)絡(luò)。
一年內(nèi)的增長
根據(jù)賽門鐵克安全響應(yīng)團(tuán)隊(duì)發(fā)布的技術(shù)白皮書顯示,感染Dyre的用戶從一年前開始激增。這款惡意軟件背后的攻擊者不斷提高攻擊性能,并持續(xù)構(gòu)建支持其發(fā)展的基礎(chǔ)設(shè)施。
圖 在一年內(nèi)針對(duì)Dyre的檢測(cè)
在一年內(nèi)針對(duì)Dyre的檢測(cè) (根據(jù)國家或地區(qū))
排名 國家 檢測(cè)活動(dòng)量
1 美國 53919
2 英國 15789
3 日本 11411
4 加拿大 7200
5 澳大利亞 2914
6 印度 2817
7 法國 2137
8 新加坡 1521
9 香港 1515
10 土耳其 1408
11 德國 1253
12 中國 1236
13 愛爾蘭 1214
14 瑞士 1210
15 馬來西亞 1047
由于攻擊者的目標(biāo)不僅僅是為了竊取金融機(jī)構(gòu)的信息,還抱有其他惡意目的,賽門鐵克所檢測(cè)到的活動(dòng)數(shù)量并不能確認(rèn)為實(shí)際的感染數(shù)量。賽門鐵克發(fā)現(xiàn),一些國家擁有很高的活動(dòng)數(shù)量,但實(shí)際受到攻擊的銀行數(shù)量并不高。在過去一年中,賽門鐵克檢測(cè)到中國大約有1,236次活動(dòng),并未列入前十大受威脅嚴(yán)重的國家,僅有2家銀行成為攻擊目標(biāo)。
感染傳播途徑
Dyre主要通過垃圾郵件傳播。在大多數(shù)情況下,惡意電子郵件偽裝成商務(wù)文件、語音郵件或傳真消息。當(dāng)受害者點(diǎn)擊電子郵件附件,就會(huì)被重新定向到一個(gè)惡意網(wǎng)站,該網(wǎng)站將在受害者的電腦上安裝Upatre下載器(經(jīng)賽門鐵克檢測(cè)為Downloader.Upatre)。
Upatre是金融欺詐組織最常用的偵測(cè)工具之一,此前Gameover Zeus和Cryptolocker組織都曾使用過該工具。它在受害者的計(jì)算機(jī)中充當(dāng)橋頭堡,收集相關(guān)信息以及試圖禁用安全軟件,最后下載并安裝Dyre木馬。
憑證竊取
Dyre能夠使用幾種不同類型的瀏覽器中間人(MITB)攻擊受害者的Web瀏覽器,從而竊取憑證。其中的一種 MITB 攻擊會(huì)將受害者瀏覽過的每一個(gè)網(wǎng)頁進(jìn)行掃描,并對(duì)照Dyre預(yù)先配置的攻擊網(wǎng)站清單進(jìn)行核查。如果找到匹配結(jié)果,該MITB就會(huì)將受害者重新定向到與真正網(wǎng)站外觀相似的虛假網(wǎng)站。該虛假網(wǎng)站將收集受害者的憑證,然后將其重新定向回原網(wǎng)站。
第二種 MITB攻擊可以通過添加惡意代碼讓Dyre篡改合法站點(diǎn)在瀏覽器窗口中的顯示方式,進(jìn)而竊取受害者的登錄憑證。在某些情況下,Dyre還可能會(huì)顯示一個(gè)附加的虛假頁面,通知受害者其電腦無法被識(shí)別,并需要提供其他憑證來驗(yàn)證用戶身份,例如生日、PIN 碼和信用卡詳細(xì)信息。
為其他威脅打開大門
Dyre還會(huì)向受害者傳染其他惡意軟件。迄今為止,賽門鐵克已經(jīng)發(fā)現(xiàn)7種來自Dyre推送的其他惡意軟件,以用于感染計(jì)算機(jī)。在多種情況下,受害者會(huì)被添加至僵尸網(wǎng)絡(luò),以用于支持后續(xù)的垃圾郵件活動(dòng),并感染更多的受害者。
操控Dyre 的攻擊者
根據(jù)Dyre攻擊者的最活躍的活動(dòng)時(shí)間,賽門鐵克認(rèn)為該組織可能位于東歐或俄羅斯。許多組織的命令控制(C&C)基礎(chǔ)設(shè)施位于這些地區(qū),并且這些國家的感染數(shù)量相對(duì)較少。這些攻擊組織或許希望通過避免攻擊離自己較近的目標(biāo)來保持自身低調(diào)。
賽門鐵克保護(hù)
賽門鐵克和諾頓產(chǎn)品檢測(cè)到如下威脅:Infostealer.Dyre、Downloader.Upatre
檢測(cè)到Dyre木馬傳播的其他威脅如下:Trojan.Spadyra、Trojan.Spadoluk、Trojan.Pandex.B、Infostealer.Kegotip、Trojan.Fareit、Trojan.Doscor、Trojan.Fitobrute
賽門鐵克建議采取以下防護(hù)策略
- 保持將安全軟件更新至最新版本,以防御惡意軟件的新變種。
- 保持更新計(jì)算機(jī)操作系統(tǒng)和其他軟件。軟件更新通常包含針對(duì)新發(fā)現(xiàn)的可能被攻擊者利用的安全漏洞補(bǔ)丁。
- 在進(jìn)行網(wǎng)上銀行會(huì)話時(shí)保持謹(jǐn)慎,尤其當(dāng)銀行網(wǎng)站的操作行為或外觀變化時(shí)更需謹(jǐn)慎。
