Μια νέα εκστρατεία κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου διαδίδει το Dyre τραπεζικό Trojan στους χρήστες των ΗΠΑ μέσω κοινοποιήσεων e-fax, υποδεικνύοντας ότι οι κυβερνοεγκληματίες στοχεύουν τους υπολογιστές των επιχειρήσεων και όχι των χρηστών.
Παρά το γεγονός ότι δεν υπάρχει κάποιο τεχνικό πλεονέκτημα σε σύγκριση με το ηλεκτρονικό ταχυδρομείο, η ηλεκτρονική επικοινωνία φαξ εξακολουθεί να χρησιμοποιείται σε εταιρείες σε όλο τον κόσμο για την ανταλλαγή εγγράφων σε ψηφιακή μορφή και όχι σε χαρτί.
Οι ειδοποιήσεις για νέα φαξ που είναι στη διάθεση του χρήστη αποστέλλονται σε εισερχόμενα e-mail από την υπηρεσία e-fax και παρέχεται ένας σύνδεσμος για download.
Στο πλαίσιο της εκστρατείας που εντοπίστηκε από τους ερευνητές ασφάλειας της Bitdefender, η διεύθυνση URL κατευθύνει σε ένα αρχείο που περιέχει ένα εκτελέσιμο που φαίνεται ως αρχείο PDF.
Σύμφωνα με τους αναλυτές malware από την εταιρεία λογισμικού αντιμετώπισης ιών, το αντικείμενο είναι ένα downloader που κατεβάζει το Dyre τραπεζικό Trojan, επίσης γνωστό με το όνομα Dyreza.
Παρατήρησαν ότι οι φορείς της εκστρατείας υιοθέτησν τεχνικές για να αποφύγουν την ανίχνευση του κακόβουλου λογισμικού. Οι εγκληματίες του κυβερνοχώρου βασίζονται στην τεχνική server-side polymorphism, η οποία συνίσταται στην αυτόματη εφαρμογή των διαφόρων μέτρων obfuscation και κρυπτογράφησης στο payload πριν από τη λήψη του από τον κακόβουλο διακομιστή, ώστε να φαίνεται μοναδικό.
Οι ερευνητές αναφέρουν ότι μέσα σε μια μέρα, ένα φορτίο 30.000 κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου απεστάλησαν από τους spam servers στις ΗΠΑ, τη Ρωσία, την Τουρκία, τη Γαλλία, τον Καναδά, και το Ηνωμένο Βασίλειο.
Κατά τη διάρκεια της έρευνας, οι εμπειρογνώμονες διαπίστωσαν ότι η εκστρατεία ονομάστηκε “2201us“, όνομα το οποίο θα μπορούσε να αναφέρεται στην ημερομηνία έναρξης της λειτουργίας της επίθεσης, ήτοι 22 Ιανουαρίου, καθώς και τη στοχοθετημένη χώρα, δηλαδή τις Ηνωμένες Πολιτείες.
Ανακάλυψαν επίσης ότι το Trojan ενεργοποιείται στους μολυσμένους υπολογιστές, όταν το θύμα επισκέπτεται ιστοσελίδες αξιόπιστων τραπεζών στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ιρλανδία, τη Γερμανία, την Αυστραλία, τη Ρουμανία και την Ιταλία.
Είναι σύνηθες για τις επιχειρήσεις να ανοίγουν λογαριασμούς σε παλλά χρηματοπιστωτικά ιδρύματα, προκειμένου να ολοκληρώνουν τις χρηματικές συναλλαγές τους πιο αποτελεσματικά.
Το Dyre βασίζεται στην τεχνική man-in-the-browser, με σύνδεση στο πρόγραμμα περιήγησης στο web. Παρεμβάλλεται στο traffic μεταξύ του παραβιασμένου συστήματος και των στοχευμένων τραπεζών και μπορεί να χειριστεί το περιεχόμενο της ιστοσελίδας μέσω real-time web injection.
Βασικά, οι επιτιθέμενοι μπορούν να προσφέρουν στο θύμα ψεύτικες πληροφορίες σχετικά με το λογαριασμό τους χωρίς να προκαλέσουν καμία προειδοποίηση ασφάλειας στον web browser, δεδομένου ότι η σύνδεση φαίνεται να είναι νόμιμη και κρυπτογραφημένη.
Πρόσφατα, εντοπίστηκε μια νέα παραλλαγή του Dyre που περιλαμβάνει τη δυνατότητα πρόσβασης στο Outlook e-mail client της Microsoft, προκειμένου να διαδώσει το κακόβουλο λογισμικό Upatre, το οποίο στη συνέχεια διοχετεύει το Dyre Trojan στους υπολογιστές των θυμάτων.
