Trojan bankowy Dyre w wiadomościach faksowych

Przeczytaj także: Dr.Web: zagrożenia internetowe w XI 2014 r.

Analitycy Bitdefender ostrzegają przed zmasowaną spam-falą, instalującą bankowego trojana Dyreza, który może zamienić komputery nieświadomych użytkowników w maszyny do kradzieży wrażliwych danych finansowych.

Złośliwe wiadomości spamowe zawierają linki do plików HTML. Pliki te z kolei zawierają odnośniki URL do głęboko zaszytego kodu Javascript, który wydaje polecenie automatycznego pobrania archiwum zip ze zdalnej lokalizacji.

Co ciekawe, każde pobrane archiwum zawiera inną nazwę w celu oszukania oprogramowania antywirusowego. Technika ta nazywana jest polimorfizmem po stronie serwera i zapewnia, że każdy pobierany plik będzie rozpoznawany jako nowy.

Aby pójść krok dalej, sam kod JavaScript przekierowuje użytkownika do zlokalizowanego na stronie internetowej usługodawcy faksu zaraz po pobraniu archiwum.

Zawartość archiwum wygląda jak przeciętny plik PDF. Tak naprawdę jest to wykonywalny plik z ikoną przypisywaną zwykle do pliku PDF. Działają one jak oprogramowanie do pobierania, które kopiuje na nasz komputer i uruchamia bankowego trojana Dyzera, znanego również jako Dyre.

Analiza złośliwego oprogramowania

Pierwszy raz spotkano się z nim w 2014 roku. Szkodnik jest podobny do osławionego Zeusa. Instaluje się sam na komputerze użytkownika i pozostaje aktywny tylko w momencie, gdy użytkownik korzysta z konkretnych funkcji zawartych na sprecyzowanych stronach internetowych. Czasami są to strony logowania instytucji bankowych lub serwisów finansowych.

Za pośrednictwem ataku man-in-the-broswer (człowiek przy przeglądarce), hakerzy są w stanie wprowadzić złośliwy kod Javascript, który pozwala im na kradzież poświadczeń (loginu i hasła PIN), co w rezultacie daje im możliwość na przyszłe manipulowanie i zarządzenie kontami w całkowicie niewykrywalny sposób.

Dzięki technice inżynierii odwrotnej (gdzie przeprowadza się badania produktu – w tym wypadku trojana – w celu ustalenia, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany), naukowcom Bitdefender udało się określić listę docelowych stron internetowych dla tego konkretnego trojana. Atak został wymierzony w klientów renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Irlandii, Niemczech, Australii, Rumunii i Włoch.

Pomimo względnego wyrafinowania sposobu ataku, technika ta nadal opiera się na ciekawości użytkownika, by zajrzeć do wygenerowanego archiwum i ręcznie uruchomić jego zawartość. Odrobina ostrożności może zmniejszyć szanse na zarażenie naszego komputera.

Według laboratorium Bitdefendera, 30 000 złośliwych maili zostało wysłanych tylko w ciągu jednego dnia ze spamowych serwerów w Stanach Zjednoczonych, Rosji, Turcji, Francji, Kanady i Wielkiej Brytanii. Co może wydać się ciekawe, kampania ataku nazywa się 2201us i zdaje się nawiązywać do daty ataku, czyli 22 stycznia i kraju docelowego, czyli USA.

Bitdefender wykrywa i blokuje wszystkie elementy zagrożenia, takie jak: plik.js, program pobierający i plik wykonywalny. Trojan wykrywany jest jako Gen:Trojan.Heur.AuW@Izubv1ni. Upominamy również użytkowników, by unikali klikania nieznanych linków w wiadomościach e-mail, szczególnie wtedy, gdy wiadomości pochodzą od nieznanych adresatów. I przypominamy o aktualizacjach antywirusa pod kątem definicji najnowszych wirusów i zagrożeń, tak aby program był cały czas zdolna powstrzymać atak wymierzony w nasz komputer.

Ten artykuł został napisany w oparciu o próbki spamu udostępnione dzięki uprzejmości Adriana Mirona – badacza spamu w Bitdefender, Doina Cosovana – badacza Bitdefender, których dostarczył informacji technicznych z ramienia grupy zajmującej się analizą wirusów, Octaviana Minea i Alexandru Maximciuca.