Nowa fala spamu z trojanem bankowym Dyre. Jak donoszą analitycy firmy Bitdefender, ruszyła kolejna globalna kampania spamu zawierająca trojana bankowego Dyre, który używa różnych metod, by zmaksymalizować swoją skuteczność.

Spam z bankowym trojanem Dyreza znanym też jako Dyre
Tysiące ludzi otrzymało informację mailową, by pobrać archiwum zawierające złośliwy plik .exe, który rzekomo pochodzi od doradcy podatkowego. Tym razem, aby przekonać użytkownika o prawdziwości informacji zawartej w wiadomości spamerzy wysłali nie jeden, ale trzy e-maile nadane dzień po dniu. Pierwszy e-mail nakłania odbiorcę do zapoznania się ze spakowanym załącznikiem, który ma dostarczyć informacji w celu sfinalizowania transakcji finansowej. Bardzo podobny e-mail, wysłany kolejnego dnia kampanii spamu, udaje dołączoną dokumentację finansową i pyta użytkownika o weryfikację jego autentyczności. Kolejny e-mail ma nakłonić użytkownika do otworzenia załącznika grożąc karami dla jego firmy.

Spakowany plik z załącznika, to plik wykonywalny exe, który działa jak downloader, który pobiera i uruchamia trojana Dyreza, znanego również, jako Dyre.

Pierwsze wzmianki o Dyre pochodzą z 2014 roku, kiedy to upodobnił się do innego znanego trojana – Zeus. Dyre instaluje się na komputerze użytkownika i staje się aktywny tylko wtedy, gdy użytkownik wprowadzi dane uwierzytelniające w określonym miejscu, np. na stronie logowania banku lub usługi finansowej. Poprzez atak man-in-the-browser (zainfekowaną przeglądarkę internetową) hakerzy wstrzykują złośliwy skrypt JavaScript, który pozwala ukraść poświadczenia (np. dane logowania, kody autoryzacji, dane karty) i w ukryciu manipulować kontami.

Specjalisci z firmy Bitdefender ominęli szyfrowanie komunikacji między zainfekowanym komputerem a zbierającym skradzione informacje serwerem oraz zidentyfikowali strony internetowe, z których pobierano dane. Najbardziej narażeni byli klienci renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Niemiec, Danii, Australii, Rumunii i Francji.

  • [UK] Klienci Barclays, Royal Bank of Scotland, HSBC, Lloyds Bank, Santander, mogli stać się ofiarą przekierowań hakerów.
  • [USA] Klienci: Bank of America, Citibank, Wells Fargo, JP Morgan Chase i PayPal mogli zostać narażeni na kradzież.
  • [Niemcy] Deutsche Bank, Valovis Bank oraz klienci volkswagenbank.de mogli stracić swoje poświadczenia (logi/hasło) oraz pieniądze z kont.
  • [Australia] Hakerzy zaatakowali klientów Banku Melbourne i lokalnych jednostek ING, Citibank i HSBC.

Według laboratorium Bitdefender 19 tysięcy e-maili zawierających złośliwe oprogramowani zostało wysłane w ciągu trzech dni z serwerów spamu znajdujących się w Stanach Zjednoczonych, na Tajwanie, w Hong Kongu, Danii, Rosji, Chinach, Korei Południowej, Wielkiej Brytanii, Australii i kilku innych Państwach.

Producent oprogramowania Bitdefender, który wykrywa i blokuje zagrożenia, przypomina użytkownikom, aby nie klikali łączy w wiadomościach z nieznanych adresów e-mail oraz dbali o bieżącą aktualizację oprogramowania antywirusowego.

źródło: Bitdefender