Zagrożenie wykorzystuje technikę polimorfizmu po stronie serwera, aby obejść oprogramowanie antywirusowe. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego.

Analitycy Bitdefender ostrzegają przed zmasowaną spam-falą instalującą bankowego trojana Dyreza, który może zamienić dziesiątki tysięcy komputerów, nic nie podejrzewających użytkowników w maszyny do kradzieży wrażliwych danych finansowych.

Złośliwe wiadomości spamowe zawierają linki do plików HTML. Pliki te z kolei zawierają odnośniki URL do głęboko zaszytego kodu Javascript, który wydaje polecenie automatycznego pobrania archiwum zip ze zdalnej lokalizacji.

Co ciekawe, każde pobrane archiwum zawiera inną nazwę w celu oszukania oprogramowania antywirusowego. Technika ta nazywana jest polimorfizmem po stronie serwera i zapewnia, że każdy pobierany plik będzie rozpoznawany jako nowy.

Aby pójść krok dalej, sam kod JavaScript przekierowuje użytkownika do zlokalizowanego na stronie internetowej usługodawcy faksu zaraz po pobraniu archiwum.

Zawartość archiwum wygląda jak przeciętny plik PDF. Tak naprawdę jest to wykonywalny pliki z ikoną przypisywaną zwykle do pliku PDF. Działają one, jako oprogramowanie do pobierania, które kopiuje na nasz komputer i uruchamia bankowego trojana Dyzera, również znanego, jako Dyre.

Analiza złośliwego oprogramowania – Dyre.
w

Pierwszy raz spotkano się z nim w 2014 roku i jest podobny do osławionego Zeusa. Instaluje się sam na komputerze użytkownika i zostaje aktywny tylko w momencie, gdy użytkownik korzysta z konkretnych funkcji zawartych na sprecyzowanych stronach internetowych, czasami są to strony logowania instytucji bankowych lub serwisów finansowych.

Za pośrednictwem ataku man-in-the-broswer (człowiek przy przeglądarce), hakerzy są w stanie wprowadzić złośliwy kod Javascript, który pozwala im na kradzież poświadczeń (loginu i hasła pin’u), co w rezultacie daje im możliwość na przyszłe manipulowanie i zarządzenie kontami w całkowicie niewykrywalny sposób.

Dzięki technice inżynierii odwrotnej (gdzie przeprowadza się badania produktu w celu ustalenia, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany), naukowcom Bitdefender zajmującym się analizą złośliwego oprogramowania, udało się określić listę docelowych stron internetowych dla tego konkretnego trojana. Atak został wymierzony w klientów renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Irlandii, Niemczech, Australii, Rumunii i Włoch.

Pomimo względnego wyrafinowania sposobu ataku, technika ta nadal opiera się na ciekawości użytkownika by zajrzeć do wygenerowanego archiwum i ręcznie uruchomić jego zawartość. Odrobina ostrożności może zmniejszyć szanse na zarażenie naszego komputera.

źródło: Bitdefender

Kan