Dyre金融木马大约在一年前出现,并且目前已成为最有效的金融欺诈工具之一。犯罪分子利用Dyre对全球1000多家银行和其他公司的客户进行欺诈。在英语国家,尤其是美国和英国的客户面临最大的风险,这是因为被锁定为攻击目标的银行大部分位于这些国家。
在Gameover Zeus、Shylock和Ramnit 等几个重大金融威胁相继被打击后,由这些组织所造成的威胁已经削弱,但Dyre现在已经取而代之,成为普通客户所面临的主要威胁之一。
赛门铁克公司检测发现,Dyre的文件名为 Infostealer.Dyre,以Windows计算机为攻击目标,并且能够通过攻击三款主流Web浏览器(Internet Explorer、Chrome和Firefox)窃取银行凭证和其他凭证。此外,Dyre将构成双重威胁。除窃取凭证外,它还能够向受害者传染其他类型的恶意软件,例如将用户添加至垃圾邮件僵尸网络。
一年内的增长
根据赛门铁克安全响应团队发布的技术白皮书显示,感染Dyre的用户从一年前开始激增。这款恶意软件背后的攻击者不断提高攻击性能,并持续构建支持其发展的基础设施。
由于攻击者的目标不仅仅是为了窃取金融机构的信息,还抱有其他恶意目的,赛门铁克所检测到的活动数量并不能确认为实际的感染数量。赛门铁克发现,一些国家拥有很高的活动数量,但实际受到攻击的银行数量并不高。在过去一年中,赛门铁克检测到中国大约有1236次活动,并未列入前十大受威胁严重的国家,仅有2家银行成为攻击目标。
感染传播途径
Dyre主要通过垃圾邮件传播。在大多数情况下,恶意电子邮件伪装成商务文件、语音邮件或传真消息。当受害者点击电子邮件附件,就会被重新定向到一个恶意网站,该网站将在受害者的电脑上安装Upatre下载器。Upatre是金融欺诈组织最常用的侦测工具之一,此前Gameover Zeus和Cryptolocker组织都曾使用过该工具。它在受害者的计算机中充当桥头堡,收集相关信息以及试图禁用安全软件,最后下载并安装Dyre木马。
凭证窃取
Dyre能够使用几种不同类型的浏览器中间人 (MITB)攻击受害者的Web浏览器,从而窃取凭证。其中的一种MITB攻击会将受害者浏览过的每一个网页进行扫描,并对照Dyre预先配置的攻击网站清单进行核查。如果找到匹配结果,该MITB就会将受害者重新定向到与真正网站外观相似的虚假网站。该虚假网站将收集受害者的凭证,然后将其重新定向回原网站。
第二种MITB攻击可以通过添加恶意代码让Dyre篡改合法站点在浏览器窗口中的显示方式,进而窃取受害者的登录凭证。在某些情况下,Dyre还可能会显示一个附加的虚假页面,通知受害者其电脑无法被识别,并需要提供其他凭证来验证用户身份,例如生日、PIN码和信用卡详细信息。(肖文)