Trojan Banking Dyre nhắm vào các doanh nghiệp ở Mỹ

Một chiến dịch email độc hại mới đã được phát hiện nhằm phát tán Trojan banking Dyre cho người dùng tại Mỹ thông qua các thông báo e-fax, nó chỉ ra rằng tội phạm mạng nhắm vào mục đích lây nhiễm trên các máy tính doanh nghiệp chứ không phải những người dùng thông thường.

Mặc dù không có lợi thế kỹ thuật so với email, thông tin liên lạc điện tử fax vẫn được sử dụng trong các công ty trên khắp thế giới để trao đổi tài liệu ở định dạng kỹ thuật số thay vì giấy.

Cảnh báo cho các máy fax mới đang có sẵn cho người dùng được gửi đến một hộp thư email từ dịch vụ e-fax và một liên kết được cung cấp để tải về chúng.

Server-side đa hình sử dụng để tránh radar chống virus

Trong bối cảnh các chiến dịch hiện tại các nhà nghiên cứu bảo mật tại Bitdefender quan sát được, URL trỏ tới một kho lưu trữ có vẻ chứa quyền thực thi như một tập tin PDF.

Theo các nhà phân tích phần mềm độc hại từ nhà cung cấp chống virus Rumani, tài liệu là một downloader trích xuất Trojan ngân hàng Dyre, còn được biết đến dưới cái tên Dyreza.

Họ quan sát thấy rằng các nhà điều hành của chiến dịch thông qua các kỹ thuật để tránh bị các phần mềm Antivirus phát hiện là phần mềm độc hại. Tội phạm mạng dựa trên server-side đa hình, trong đó bao gồm tự động áp dụng các biện pháp mã hóa và gây rối khác nhau tới payload trước khi nó được tải về từ máy chủ độc hại, khiến nó có vẻ như bình thường.

Các nhà nghiên cứu cho biết chỉ trong một ngày, 30.000 email độc hại đã được phát tán từ các máy chủ thư rác ở Mỹ, Nga, Thổ Nhĩ Kỳ, Pháp, Canada và Anh.

Khách hàng của các ngân hàng ở các nước khác nhau bị nhắm mục tiêu

Trong khi điều tra, các chuyên gia thấy rằng chiến dịch được đặt tên là “2201us”, có thể chỉ ra ngày bắt đầu hoạt động độc hại là ngày 22/1 và quốc gia bị nhắm mục tiêu là Mỹ.

Họ cũng phát hiện ra rằng Trojan nhảy vào hành động trên các máy tính bị lây nhiễm khi các nạn nhân vào trang web của các ngân hàng có uy tín tại Mỹ, Anh, Ireland, Đức, Australia, Rumani, và Ý.

Các doanh nghiệp thường mở các tài khoản với nhiều tổ chức tài chính để hoàn tất giao dịch tiền bạc hiệu quả hơn. Ngoài ra, Trojans ngân hàng cũng tìm cách che giấu càng nhiều ngân hàng càng tốt để tăng thành công của chúng.

Dyre dựa trên kỹ thuật man-in-the-browser (kỹ thuật sử dụng Trojan để chặn các lệnh gọi hàm giữa browser với hệ thống hoặc các thư viện mà browser sử dụng để thu thập thông tin của người dùng và gửi về cho kẻ tấn công) bằng cách gắn vào các trình duyệt web. Nó chặn lưu lượng giữa các hệ thống bị xâm nhập và các ngân hàng mục tiêu và nó có thể thao tác các nội dung của trang web thông qua lây nhiễm web thời gian thực.

Về cơ bản, những kẻ tấn công có thể cung cấp cho nạn nhân thông tin giả về tài khoản mà không gây ra bất kỳ báo động nào trong các trình duyệt web, vì kết nối có vẻ là một trong những cái hợp pháp, được mã hóa.

Gần đây, một biến thể mới của Dyre đã được phát hiện bao gồm khả năng chiếm quyền điều khiển email Outlook khách hàng của Microsoft để lây lan downloader phần mềm độc hại Upatre, mà sẽ đưa Trojan tương tự Dyre vào máy tính của nạn nhân.

Softpedia