Dyre已經成為當下金融木馬威脅
- 發佈時間:2015-07-15 02:32:12 來源:科技日報 責任編輯:羅伯特
Dyre金融木馬大約在一年前出現,並且目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對全球1000多家銀行和其他公司的客戶進行欺詐。在英語國家,尤其是美國和英國的客戶面臨最大的風險,這是因為被鎖定為攻擊目標的銀行大部分位於這些國家。
在Gameover Zeus、Shylock和Ramnit 等幾個重大金融威脅相繼被打擊後,由這些組織所造成的威脅已經削弱,但Dyre現在已經取而代之,成為普通客戶所面臨的主要威脅之一。
賽門鐵克公司檢測發現,Dyre的文件名為 Infostealer.Dyre,以Windows電腦為攻擊目標,並且能夠通過攻擊三款主流Web瀏覽器(Internet Explorer、Chrome和Firefox)竊取銀行憑證和其他憑證。此外,Dyre將構成雙重威脅。除竊取憑證外,它還能夠向受害者傳染其他類型的惡意軟體,例如將用戶添加至垃圾郵件僵屍網路。
一年內的增長
根據賽門鐵克安全響應團隊發佈的技術白皮書顯示,感染Dyre的用戶從一年前開始激增。這款惡意軟體背後的攻擊者不斷提高攻擊性能,並持續構建支援其發展的基礎設施。
由於攻擊者的目標不僅僅是為了竊取金融機構的資訊,還抱有其他惡意目的,賽門鐵克所檢測到的活動數量並不能確認為實際的感染數量。賽門鐵克發現,一些國家擁有很高的活動數量,但實際受到攻擊的銀行數量並不高。在過去一年中,賽門鐵克檢測到中國大約有1236次活動,並未列入前十大受威脅嚴重的國家,僅有2家銀行成為攻擊目標。
感染傳播途徑
Dyre主要通過垃圾郵件傳播。在大多數情況下,惡意電子郵件偽裝成商務文件、語音郵件或傳真消息。當受害者點擊電子郵件附件,就會被重新定向到一個惡意網站,該網站將在受害者的電腦上安裝Upatre下載器。Upatre是金融欺詐組織最常用的偵測工具之一,此前Gameover Zeus和Cryptolocker組織都曾使用過該工具。它在受害者的電腦中充當橋頭堡,收集相關資訊以及試圖禁用安全軟體,最後下載並安裝Dyre木馬。
憑證竊取
Dyre能夠使用幾種不同類型的瀏覽器中間人 (MITB)攻擊受害者的Web瀏覽器,從而竊取憑證。其中的一種MITB攻擊會將受害者瀏覽過的每一個網頁進行掃描,並對照Dyre預先配置的攻擊網站清單進行核查。如果找到匹配結果,該MITB就會將受害者重新定向到與真正網站外觀相似的虛假網站。該虛假網站將收集受害者的憑證,然後將其重新定向回原網站。
第二種MITB攻擊可以通過添加惡意代碼讓Dyre篡改合法站點在瀏覽器窗口中的顯示方式,進而竊取受害者的登錄憑證。在某些情況下,Dyre還可能會顯示一個附加的虛假頁面,通知受害者其電腦無法被識別,並需要提供其他憑證來驗證用戶身份,例如生日、PIN碼和信用卡詳細資訊。(肖文)