賽門(mén)鐵克揭示Dyre已成為當下主要金融木馬威脅

　　Dyre金融木馬大約在一年前出現，并且目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對全球1，000多家銀行和其他公司的客戶(hù)進(jìn)行欺詐。在英語(yǔ)國家，尤其是美國和英國的客戶(hù)面臨最大的風(fēng)險，這是因為被鎖定為攻擊目標的銀行大部分位于這些國家。

　　在Gameover Zeus、Shylock和RamnIT 等幾個(gè)重大金融威脅相繼被打擊后，由這些組織所造成的威脅已經(jīng)削弱，但Dyre現在已經(jīng)取而代之，成為普通客戶(hù)所面臨的主要威脅之一。

　　賽門(mén)鐵克公司檢測發(fā)現，Dyre的文件名為 Infostealer.Dyre，以Windows計算機為攻擊目標，并且能夠通過(guò)攻擊三款主流Web瀏覽器（Internet Explorer、Chrome和Firefox）竊取銀行憑證和其他憑證。

　　此外，Dyre將構成雙重威脅。除竊取憑證外，它還能夠向受害者傳染其他類(lèi)型的惡意軟件，例如將用戶(hù)添加至垃圾郵件僵尸網(wǎng)絡(luò )。

　　一年內的增長(cháng)

　　根據賽門(mén)鐵克安全響應團隊發(fā)布的技術(shù)白皮書(shū)顯示，感染Dyre的用戶(hù)從一年前開(kāi)始激增。這款?lèi)阂廛浖�背后的攻擊者不斷提高攻擊性能，并持續構建支持其發(fā)展的基礎設施。

　　圖 在一年內針對Dyre的檢測

　　在一年內針對Dyre的檢測 （根據國家或地區）

　　排名 國家  檢測活動(dòng)量

　　1    美國  53919
　　2    英國  15789
　　3    日本  11411
　　4    加拿大  7200
　　5    澳大利亞 2914
　　6    印度  2817
　　7    法國  2137
　　8    新加坡  1521
　　9   香港  1515
　　10 土耳其  1408
　　11 德國  1253
　　12 中國  1236
　　13 愛(ài)爾蘭  1214
　　14 瑞士  1210
　　15 馬來(lái)西亞 1047

　　由于攻擊者的目標不僅僅是為了竊取金融機構的信息，還抱有其他惡意目的，賽門(mén)鐵克所檢測到的活動(dòng)數量并不能確認為實(shí)際的感染數量。賽門(mén)鐵克發(fā)現，一些國家擁有很高的活動(dòng)數量，但實(shí)際受到攻擊的銀行數量并不高。在過(guò)去一年中，賽門(mén)鐵克檢測到中國大約有1，236次活動(dòng)，并未列入前十大受威脅嚴重的國家，僅有2家銀行成為攻擊目標。

　　感染傳播途徑

　　Dyre主要通過(guò)垃圾郵件傳播。在大多數情況下，惡意電子郵件偽裝成商務(wù)文件、語(yǔ)音郵件或傳真消息。當受害者點(diǎn)擊電子郵件附件，就會(huì )被重新定向到一個(gè)惡意網(wǎng)站，該網(wǎng)站將在受害者的電腦上安裝Upatre下載器（經(jīng)賽門(mén)鐵克檢測為Downloader.Upatre）。

　　Upatre是金融欺詐組織最常用的偵測工具之一，此前Gameover Zeus和Cryptolocker組織都曾使用過(guò)該工具。它在受害者的計算機中充當橋頭堡，收集相關(guān)信息以及試圖禁用安全軟件，最后下載并安裝Dyre木馬。

　　憑證竊取

　　Dyre能夠使用幾種不同類(lèi)型的瀏覽器中間人（MITB）攻擊受害者的Web瀏覽器，從而竊取憑證。其中的一種 MITB 攻擊會(huì )將受害者瀏覽過(guò)的每一個(gè)網(wǎng)頁(yè)進(jìn)行掃描，并對照Dyre預先配置的攻擊網(wǎng)站清單進(jìn)行核查。如果找到匹配結果，該MITB就會(huì )將受害者重新定向到與真正網(wǎng)站外觀(guān)相似的虛假網(wǎng)站。該虛假網(wǎng)站將收集受害者的憑證，然后將其重新定向回原網(wǎng)站。

　　第二種 MITB攻擊可以通過(guò)添加惡意代碼讓Dyre篡改合法站點(diǎn)在瀏覽器窗口中的顯示方式，進(jìn)而竊取受害者的登錄憑證。在某些情況下，Dyre還可能會(huì )顯示一個(gè)附加的虛假頁(yè)面，通知受害者其電腦無(wú)法被識別，并需要提供其他憑證來(lái)驗證用戶(hù)身份，例如生日、PIN 碼和信用卡詳細信息。

　　為其他威脅打開(kāi)大門(mén)

　　Dyre還會(huì )向受害者傳染其他惡意軟件。迄今為止，賽門(mén)鐵克已經(jīng)發(fā)現7種來(lái)自Dyre推送的其他惡意軟件，以用于感染計算機。在多種情況下，受害者會(huì )被添加至僵尸網(wǎng)絡(luò )，以用于支持后續的垃圾郵件活動(dòng)，并感染更多的受害者。

　　操控Dyre 的攻擊者

　　根據Dyre攻擊者的最活躍的活動(dòng)時(shí)間，賽門(mén)鐵克認為該組織可能位于東歐或俄羅斯。許多組織的命令控制（C&C）基礎設施位于這些地區，并且這些國家的感染數量相對較少。這些攻擊組織或許希望通過(guò)避免攻擊離自己較近的目標來(lái)保持自身低調。

　　賽門(mén)鐵克保護

　　賽門(mén)鐵克和諾頓產(chǎn)品檢測到如下威脅：Infostealer.Dyre、Downloader.Upatre

　　檢測到Dyre木馬傳播的其他威脅如下：Trojan.Spadyra、Trojan.Spadoluk、Trojan.Pandex.B、Infostealer.Kegotip、Trojan.Fareit、Trojan.Doscor、Trojan.Fitobrute

　　賽門(mén)鐵克建議采取以下防護策略

• 保持將安全軟件更新至最新版本，以防御惡意軟件的新變種。
• 保持更新計算機操作系統和其他軟件。軟件更新通常包含針對新發(fā)現的可能被攻擊者利用的安全漏洞補丁。
• 在進(jìn)行網(wǎng)上銀行會(huì )話(huà)時(shí)保持謹慎，尤其當銀行網(wǎng)站的操作行為或外觀(guān)變化時(shí)更需謹慎。