Trojany bankowe w wiadomościach faksowych
Analitycy Bitdefender ostrzegają przed zmasowaną falą spamu instalującą bankowego trojana Dyreza. Może on zamienić dziesiątki tysięcy komputerów w maszyny do kradzieży wrażliwych danych finansowych.
Złośliwe wiadomości spamowe zawierają linki do plików HTML. Pliki te z kolei zawierają odnośniki URL do głęboko zaszytego kodu Javascript, który wydaje polecenie automatycznego pobrania archiwum zip ze zdalnej lokalizacji. Co ciekawe, każde pobrane archiwum zawiera inną nazwę w celu oszukania oprogramowania antywirusowego. Technika ta nazywana jest polimorfizmem po stronie serwera i zapewnia, że każdy pobierany plik będzie rozpoznawany jako nowy. Aby pójść krok dalej, sam kod JavaScript przekierowuje użytkownika do zlokalizowanego na stronie internetowej usługodawcy faksu zaraz po pobraniu archiwum.
Zawartość archiwum wygląda jak przeciętny plik PDF. Tak naprawdę jest to wykonywalny pliki z ikoną przypisywaną zwykle do pliku PDF. Działają one jako oprogramowanie do pobierania, które kopiuje na nasz komputer i uruchamia bankowego trojana Dyzera, również znanego jako Dyre.
Dyre - analiza złośliwego oprogramowania
Pierwszy raz z Dyre spotkano się w 2014 roku. Jest on podobny do osławionego Zeusa. Instaluje się sam na komputerze użytkownika i zostaje aktywny tylko w momencie, gdy użytkownik korzysta z konkretnych funkcji zawartych na sprecyzowanych stronach internetowych, czasami są to strony logowania instytucji bankowych lub serwisów finansowych. Za pośrednictwem ataku man-in-the-broswer (człowiek przy przeglądarce), hakerzy są w stanie wprowadzić złośliwy kod Javascript, który pozwala im na kradzież poświadczeń (loginu i hasła pin), co w rezultacie daje im możliwość na przyszłe manipulowanie i zarządzenie kontami w całkowicie niewykrywalny sposób.
Dzięki technice inżynierii odwrotnej (gdzie przeprowadza się badania trojana w celu ustalenia, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany), naukowcom Bitdefender zajmującym się analizą złośliwego oprogramowania, udało się określić listę docelowych stron internetowych dla tego konkretnego trojana. Atak został wymierzony w klientów renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Irlandii, Niemiec, Australii, Rumunii i Włoch.
Pomimo względnego wyrafinowania ataku, technika ta nadal opiera się na ciekawości użytkownika by zajrzeć do wygenerowanego archiwum i ręcznie uruchomić jego zawartość. Odrobina ostrożności może zmniejszyć szanse na zarażenie naszego komputera. Według laboratorium Bitdefendera, 30 000 złośliwych maili zostało wysłanych tylko w ciągu jednego dnia ze spamowych serwerów w Stanach Zjednoczonych, Rosji, Turcji, Francji, Kanadzie i Wielkiej Brytanii. Co może wydać się ciekawe, kampania ataku nazywa się 2201us i zdaje się nawiązywać do daty ataku, czyli 22 stycznia i kraju docelowego, czyli USA.