在Gameover Zeus、Shylock和Ramnit等幾個重大金融威脅相繼被打擊后,由這些組織所造成的威脅已經削弱,但Dyre現在已經取而代之,成為普通客戶所面臨的主要威脅之一。
賽門鐵克公司檢測發現,Dyre的文件名為Infostealer.Dyre,以Windows計算機為攻擊目標,并且能夠通過攻擊三款主流Web瀏覽器(Internet Explorer、Chrome和Firefox)竊取銀行憑證和其他憑證。
此外,Dyre將構成雙重威脅。除竊取憑證外,它還能夠向受害者傳染其他類型的惡意軟件,例如將用戶添加至垃圾郵件僵尸網絡。
一年內的增長
根據賽門鐵克安全響應團隊發布的技術白皮書顯示,感染Dyre的用戶從一年前開始激增。這款惡意軟件背后的攻擊者不斷提高攻擊性能,并持續構建支持其發展的基礎設施。
圖1.在一年內針對Dyre的檢測
| 排名 | 國家 | 檢測活動量 |
| 1 | 美國 | 53919 |
| 2 | 英國 | 15789 |
| 3 | 日本 | 11411 |
| 4 | 加拿大 | 7200 |
| 5 | 澳大利亞 | 2914 |
| 6 | 印度 | 2817 |
| 7 | 法國 | 2137 |
| 8 | 新加坡 | 1521 |
| 9 | 香港 | 1515 |
| 10 | 土耳其 | 1408 |
| 11 | 德國 | 1253 |
| 12 | 中國 | 1236 |
| 13 | 愛爾蘭 | 1214 |
| 14 | 瑞士 | 1210 |
| 15 | 馬來西亞 | 1047 |
由于攻擊者的目標不僅僅是為了竊取金融機構的信息,還抱有其他惡意目的,賽門鐵克所檢測到的活動數量并不能確認為實際的感染數量。賽門鐵克發現,一些國家擁有很高的活動數量,但實際受到攻擊的銀行數量并不高。在過去一年中,賽門鐵克檢測到中國大約有1,236次活動,并未列入前十大受威脅嚴重的國家,僅有2家銀行成為攻擊目標。
感染傳播途徑
Dyre主要通過垃圾郵件傳播。在大多數情況下,惡意電子郵件偽裝成商務文件、語音郵件或傳真消息。當受害者點擊電子郵件附件,就會被重新定向到一個惡意網站,該網站將在受害者的電腦上安裝Upatre下載器(經賽門鐵克檢測為Downloader.Upatre)。
Upatre是金融欺詐組織最常用的偵測工具之一,此前Gameover Zeus和Cryptolocker組織都曾使用過該工具。它在受害者的計算機中充當橋頭堡,收集相關信息以及試圖禁用安全軟件,最后下載并安裝Dyre木馬。
憑證竊取
Dyre能夠使用幾種不同類型的瀏覽器中間人(MITB)攻擊受害者的Web瀏覽器,從而竊取憑證。其中的一種MITB 攻擊會將受害者瀏覽過的每一個網頁進行掃描,并對照Dyre預先配置的攻擊網站清單進行核查。如果找到匹配結果,該MITB就會將受害者重新定向到與真正網站外觀相似的虛假網站。該虛假網站將收集受害者的憑證,然后將其重新定向回原網站。
第二種 MITB攻擊可以通過添加惡意代碼讓Dyre篡改合法站點在瀏覽器窗口中的顯示方式,進而竊取受害者的登錄憑證。在某些情況下,Dyre還可能會顯示一個附加的虛假頁面,通知受害者其電腦無法被識別,并需要提供其他憑證來驗證用戶身份,例如生日、PIN 碼和信用卡詳細信息。
為其他威脅打開大門
Dyre還會向受害者傳染其他惡意軟件。迄今為止,賽門鐵克已經發現7種來自Dyre推送的其他惡意軟件,以用于感染計算機。在多種情況下,受害者會被添加至僵尸網絡,以用于支持后續的垃圾郵件活動,并感染更多的受害者。
操控Dyre 的攻擊者
根據Dyre攻擊者的最活躍的活動時間,賽門鐵克認為該組織可能位于東歐或俄羅斯。許多組織的命令控制(C&C)基礎設施位于這些地區,并且這些國家的感染數量相對較少。這些攻擊組織或許希望通過避免攻擊離自己較近的目標來保持自身低調。
京公網安備 11010502049343號