O trojanie bankowym znanym pod nazwą Dyre lub Dyreza było i jest głośno, nie ze względu na jego „popularność”, lecz przede wszystkim na techniki kradzieży poufnych informacji, które w połączeniu z zaawansowanymi możliwościami maskowania się w systemie ofiary, całkiem dobrze napełnia kieszenie cyberprzestępców. Aby przybliżyć całą historię trojana Dyre/Dyreza przedstawmy kilka najważniejszych faktów:

1. Jeszcze na początku swojego istnienia trojan atakował wyłącznie użytkowników czterech banków: Bank of America, Citibank, Natwest RBS i Ulsterbank. Z czasem lista „obsługiwanych” banków rozrosła się do 206-ściu i zawierała cele takie jak JP Morgan, Barclays, Bank of Melbourne i Citibank. Jeszcze w lutym tego roku liczba ta wzrosła do 355-ciu, obecnie chyba nikt nie wie jak wiele celów może zaatakować Dyreza. Jakby tego jeszcze było mało, Dyreza atakuje także użytkowników posiadających portfele waluty Bitcoin, a jego największą aktywność z lutego tego roku zaobserwowano w Stanach Zjednoczonych, Kanadzie i Chile.

2. Cyberprzestępcy stosują najróżniejsze wektory infekcji. Od zwykłego spamu, który zawiera odsyłacze do złośliwych stron, po szkodliwe załączniki PDF, makro wirusy w plikach DOC, aż po tzw. łańcuszki infekcji, które wykradają z klienta poczty Microsoft Outlook wszystkie kontakty i wysyłają spam do adresatów znajdujących się w książce adresowej.

3. Dyreza jest wyrafinowanym szkodnikiem napisanym przez profesjonalnych programistów. Potrafi wykradać dane bankowe w taki sposób, że ofiara niczego nie będzie się spodziewać: omija sesje SSL stosując atak man-in-the-middle - przechwytuje szyfrowany ruch przepływający pomiędzy komputerem ofiary a stroną banku. Jego różne warianty wykorzystują także atak na przeglądarkę (man-in-the-browser), dzięki któremu przestępca może (1)wykraść pieniądze i nadpisać stan rachunku na ten sprzed kradzieży oraz (2)wprowadzić dodatkowe pola podczas logowania się, które będę wymagać podania np. numeru karty i kodu weryfikacyjnego (CVV).

4. Zainstalowany w systemie trojan będzie próbował komunikować się z serwerem C2 w celu pobrania dodatkowych składników lub wysłania do przestępcy wykradzionych informacji. Do komunikacji może stosować szyfrowany protokół SSL co znacznie utrudni analizę ruchu sieciowego, a jeśli standardowa próba połączenia zakończy się fiaskiem, może komunikować się z serwerami C2 w adresach URL generowanymi przez funkcję Domain Generation Algorithm.

Jakby tego było mało, badacze z Seculert odkryli nowe warianty trojana Dyre, które sprawiają, że jest on jeszcze trudniejszy do wykrycia i analizy. Nowa wersja złośliwego oprogramowania Dyre jest w stanie uniknąć analizy w piaskownicy -sprawdza z ilu rdzeni korzysta komputer / emulator. Jeśli urządzenie ma tylko jeden rdzeń, trojan natychmiast kończy swoje działanie. Zdaniem autorów analizy jest to spowodowane tym, że piaskownice antywirusowe najczęściej są tak skonfigurowane, aby ze względów wydajnościowych obsługiwały tylko jeden rdzeń procesora. Tak więc, trojan nie zadziała na jednordzeniowych maszynach, lecz z drugiej strony, obecne komputery stacjonarne i laptopy wyposażone są w minimum dwurdzeniowe procesory. Istota leży w sandboxie, który może wykorzystywać jeden lub więcej rdzeni do analizy złośliwego oprogramowania w czasie rzeczywistym.

Oczywiście to nie wszystkie możliwości trojana Dyreza. Są one raz mniejsze, raz większe w zależności od wariatów. Jednak na „sukces” trojana składają się przede wszystkim możliwości omijania większości rozwiązań antywirusowych, kontrolowanie ruchu pomiędzy przeglądarką a serwerem (atak MiTM), a także omijanie dwukierunkowego uwierzytelnienia.

Jak się chronić?

Zdecydowanie najlepszą metodą ochrony jest instalacja programu antywirusowego. Wektory ataku trojana są najróżniejsze: złośliwe strony, szkodliwe załączniki, ataki drive-by, a także exploity na nieaktualne oprogramowanie. Mają to wszystko na uwadze niezbędne okazuje się kompleksowe oprogramowanie antywirusowe, które będzie wyposażone w szeroką gammę modułów ochronnych. Takim programem jest Arcabit Internet Security, który wykrywa najnowsze próbki trojana Dyre / Dyreza jako Trojan.Generic.*

źródło: ArcabitArcabit.pl