Троян Dyre притворяется онлайн-сервисом банка
Dyre (Dyreza) представляет собой новое семейство вредоносного ПО, по своим характеристикам похожее, но не идентичное известному Zeus.
Троян Dyre используется злоумышленниками для кражи аутентификационных данных пользователей банковских приложений. Установлено, что он нацелен на интернет-банкинг CitiGroup, Bank of America, NatWest, RBS, Ulster Bank и способен обойти SSL-шифрование и двухфакторную аутентификацию в этих системах.
По мнению аналитиков, Dyre распространяется по схеме crime-as-a-service («преступление как услуга»), в рамках которой злоумышленники продают вредоносное ПО, оказывают услуги по его настройке и реализации кибератак.
Жертвы Dyre получали его в спам-письмах, предлагающих загрузить с файлообменника Dropbox архив со счетами или информацией от налоговой службы. Впоследствии Dropbox удалил вредоносные ссылки, но мошенники перешли на аналогичный сервис Cubby. Использование файлообменников позволяет злоумышленникам избежать сканирования URL-адреса.
Dyre внедряет вредоносный код в браузер и перехватывает данные, когда жертва открывает сайт своего онлайн-банка. Троян совместим с Chrome, Firefox и Internet Explorer и может маскироваться под загрузку проигрывателя Flash Player.
Главная опасность Dyre — в его способности убедить пользователя, что он подключается к своему банку через безопасное соединение, защищенное SSL-шифрованием. Тем временем троян выполняет атаку типа man-in-the-middle и перехватывает аутентификационные данные пользователя.
По оценке издания Dark Reading, с технической точки зрения Dyre пока уступает известным банковским троянам. В настоящее время он не поддерживает технологию шифрования, что позволяет специалистам относительно легко обнаруживать обмен данными между зараженными компьютерами в ботнете.