Dyre金融木馬大約在一年前出現，並且目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對全球1000多家銀行和其他公司的客戶進行欺詐。在英語國家，尤其是美國和英國的客戶面臨最大的風險，這是因為被鎖定為攻擊目標的銀行大部分位於這些國家。

　　在Gameover Zeus、Shylock和Ramnit 等幾個重大金融威脅相繼被打擊後，由這些組織所造成的威脅已經削弱，但Dyre現在已經取而代之，成為普通客戶所面臨的主要威脅之一。

　　賽門鐵克公司檢測發現，Dyre的文件名為 Infostealer.Dyre，以Windows電腦為攻擊目標，並且能夠通過攻擊三款主流Web瀏覽器（Internet Explorer、Chrome和Firefox）竊取銀行憑證和其他憑證。此外，Dyre將構成雙重威脅。除竊取憑證外，它還能夠向受害者傳染其他類型的惡意軟體，例如將用戶添加至垃圾郵件僵屍網路。

　　一年內的增長

　　根據賽門鐵克安全響應團隊發佈的技術白皮書顯示，感染Dyre的用戶從一年前開始激增。這款惡意軟體背後的攻擊者不斷提高攻擊性能，並持續構建支援其發展的基礎設施。

　　由於攻擊者的目標不僅僅是為了竊取金融機構的資訊，還抱有其他惡意目的，賽門鐵克所檢測到的活動數量並不能確認為實際的感染數量。賽門鐵克發現，一些國家擁有很高的活動數量，但實際受到攻擊的銀行數量並不高。在過去一年中，賽門鐵克檢測到中國大約有1236次活動，並未列入前十大受威脅嚴重的國家，僅有2家銀行成為攻擊目標。

　　感染傳播途徑

　　Dyre主要通過垃圾郵件傳播。在大多數情況下，惡意電子郵件偽裝成商務文件、語音郵件或傳真消息。當受害者點擊電子郵件附件，就會被重新定向到一個惡意網站，該網站將在受害者的電腦上安裝Upatre下載器。Upatre是金融欺詐組織最常用的偵測工具之一，此前Gameover Zeus和Cryptolocker組織都曾使用過該工具。它在受害者的電腦中充當橋頭堡，收集相關資訊以及試圖禁用安全軟體，最後下載並安裝Dyre木馬。

　　憑證竊取

　　Dyre能夠使用幾種不同類型的瀏覽器中間人 （MITB）攻擊受害者的Web瀏覽器，從而竊取憑證。其中的一種MITB攻擊會將受害者瀏覽過的每一個網頁進行掃描，並對照Dyre預先配置的攻擊網站清單進行核查。如果找到匹配結果，該MITB就會將受害者重新定向到與真正網站外觀相似的虛假網站。該虛假網站將收集受害者的憑證，然後將其重新定向回原網站。

　　第二種MITB攻擊可以通過添加惡意代碼讓Dyre篡改合法站點在瀏覽器窗口中的顯示方式，進而竊取受害者的登錄憑證。在某些情況下，Dyre還可能會顯示一個附加的虛假頁面，通知受害者其電腦無法被識別，並需要提供其他憑證來驗證用戶身份，例如生日、PIN碼和信用卡詳細資訊。（肖文）