Dyre金融木马大约在一年前出现,目前已成为最有效的金融欺诈工具之一。犯罪分子利用Dyre对全球1000多家银行和其他公司的客户进行欺诈。在英语国家,尤其是美国和英国的客户面临最大的风险,这是因为被锁定为攻击目标的银行大部分位于这些国家。
在Gameover Zeus、Shylock和Ramnit等几个重大金融威胁相继被打击后,由这些组织所造成的威胁已经削弱,但Dyre现在已经取而代之,成为普通客户所面临的主要威胁之一。
赛门铁克公司检测发现,Dyre的文件名为Infostealer.Dyre,以Windows计算机为攻击目标,并且能够通过攻击三款主流Web浏览器(Internet Explorer、Chrome和Firefox)窃取银行凭证和其他凭证。
此外,Dyre将构成双重威胁。除窃取凭证外,它还能够向受害者传染其他类型的恶意软件,例如将用户添加至垃圾邮件僵尸网络。
一年内的增长
根据赛门铁克安全响应团队发布的技术白皮书显示,感染Dyre的用户从一年前开始激增。这款恶意软件背后的攻击者不断提高攻击性能,并持续构建支持其发展的基础设施。
排名 | 国家 | 检测活动量 |
1 | 美国 | 53919 |
2 | 英国 | 15789 |
3 | 日本 | 11411 |
4 | 加拿大 | 7200 |
5 | 澳大利亚 | 2914 |
6 | 印度 | 2817 |
7 | 法国 | 2137 |
8 | 新加坡 | 1521 |
9 | 香港 | 1515 |
10 | 土耳其 | 1408 |
11 | 德国 | 1253 |
12 | 中国 | 1236 |
13 | 爱尔兰 | 1214 |
14 | 瑞士 | 1210 |
15 | 马来西亚 | 1047 |
图2.在一年内针对Dyre的检测(根据国家)
由于攻击者的目标不仅仅是为了窃取金融机构的信息,还抱有其他恶意目的,赛门铁克所检测到的活动数量并不能确认为实际的感染数量。赛门铁克发现,一些国家拥有很高的活动数量,但实际受到攻击的银行数量并不高。在过去一年中,赛门铁克检测到中国大约有1,236次活动,并未列入前十大受威胁严重的国家,仅有2家银行成为攻击目标。
感染传播途径
Dyre主要通过垃圾邮件传播。在大多数情况下,恶意电子邮件伪装成商务文件、语音邮件或传真消息。当受害者点击电子邮件附件,就会被重新定向到一个恶意网站,该网站将在受害者的电脑上安装Upatre下载器(经赛门铁克检测为Downloader.Upatre)。
Upatre是金融欺诈组织最常用的侦测工具之一,此前Gameover Zeus和Cryptolocker组织都曾使用过该工具。它在受害者的计算机中充当桥头堡,收集相关信息以及试图禁用安全软件,最后下载并安装Dyre木马。
凭证窃取
Dyre能够使用几种不同类型的浏览器中间人(MITB)攻击受害者的Web浏览器,从而窃取凭证。其中的一种MITB 攻击会将受害者浏览过的每一个网页进行扫描,并对照Dyre预先配置的攻击网站清单进行核查。如果找到匹配结果,该MITB就会将受害者重新定向到与真正网站外观相似的虚假网站。该虚假网站将收集受害者的凭证,然后将其重新定向回原网站。
第二种 MITB攻击可以通过添加恶意代码让Dyre篡改合法站点在浏览器窗口中的显示方式,进而窃取受害者的登录凭证。在某些情况下,Dyre还可能会显示一个附加的虚假页面,通知受害者其电脑无法被识别,并需要提供其他凭证来验证用户身份,例如生日、PIN 码和信用卡详细信息。
为其他威胁打开大门
Dyre还会向受害者传染其他恶意软件。迄今为止,赛门铁克已经发现7种来自Dyre推送的其他恶意软件,以用于感染计算机。在多种情况下,受害者会被添加至僵尸网络,以用于支持后续的垃圾邮件活动,并感染更多的受害者。
操控Dyre 的攻击者
根据Dyre攻击者的最活跃的活动时间,赛门铁克认为该组织可能位于东欧或俄罗斯。许多组织的命令控制(C&C)基础设施位于这些地区,并且这些国家的感染数量相对较少。这些攻击组织或许希望通过避免攻击离自己较近的目标来保持自身低调。