Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego.

Analitycy Bitdefender ostrzegają przed zmasowaną spam-falą instalującą bankowego trojana Dyreza, który może zamienić dziesiątki tysięcy komputerów, nic nie podejrzewających użytkowników w maszyny do kradzieży wrażliwych danych finansowych.

Złośliwe wiadomości spamowe zawierają linki do plików HTML. Pliki te z kolei zawierają odnośniki URL do głęboko zaszytego kodu Javascript, który wydaje polecenie automatycznego pobrania archiwum zip ze zdalnej lokalizacji.

Co ciekawe, każde pobrane archiwum zawiera inną nazwę w celu oszukania oprogramowania antywirusowego. Technika ta nazywana jest polimorfizmem po stronie serwera i zapewnia, że każdy pobierany plik będzie rozpoznawany jako nowy.

Aby pójść krok dalej, sam kod JavaScript przekierowuje użytkownika do zlokalizowanego na stronie internetowej usługodawcy faksu zaraz po pobraniu archiwum.

Zawartość archiwum wygląda jak przeciętny plik PDF. Tak naprawdę jest to wykonywalny pliki z ikoną przypisywaną zwykle do pliku PDF. Działają one, jako oprogramowanie do pobierania, które kopiuje na nasz komputer i uruchamia bankowego trojana Dyzera, również znanego, jako Dyre.

Analiza złośliwego oprogramowania – Dyre.

Pierwszy raz spotkano się z nim w 2014 roku i jest podobny do osławionego Zeusa. Instaluje się sam na komputerze użytkownika i zostaje aktywny tylko w momencie, gdy użytkownik korzysta z konkretnych funkcji zawartych na sprecyzowanych stronach internetowych, czasami są to strony logowania instytucji bankowych lub serwisów finansowych.

Za pośrednictwem ataku man-in-the-broswer (człowiek przy przeglądarce), hakerzy są w stanie wprowadzić złośliwy kod Javascript, który pozwala im na kradzież poświadczeń (loginu i hasła pin’u), co w rezultacie daje im możliwość na przyszłe manipulowanie i zarządzenie kontami w całkowicie niewykrywalny sposób.

Dzięki technice inżynierii odwrotnej (gdzie przeprowadza się badania produktu <w tym wypadku trojana> w celu ustalenia, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany), naukowcom Bitdefender zajmującym się analizą złośliwego oprogramowania, udało się określić listę docelowych stron internetowych dla tego konkretnego trojana. Atak został wymierzony w klientów renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Irlandii, Niemczech, Australii, Rumunii i Włoch.

Pomimo względnego wyrafinowania sposobu ataku, technika ta nadal opiera się na ciekawości użytkownika by zajrzeć do wygenerowanego archiwum i ręcznie uruchomić jego zawartość. Odrobina ostrożności może zmniejszyć szanse na zarażenie naszego komputera. Oto jak wyglądają przykładowe linki do złośliwego oprogramowania:

Według laboratorium Bitdefendera, 30 000 złośliwych maili zostało wysłanych tylko w ciągu jednego dnia ze spamowych serwerów w Stanach Zjednoczonych, Rosji, Turcji, Francji, Kanady i Wielkiej Brytanii. Co może wydać się ciekawe, kampania ataku nazywa się 2201us i zdaje się nawiązywać do daty ataku, czyli 22 stycznia i kraju docelowego, czyli USA.

Bitdefender wykrywa i blokuje wszystkie elementy zagrożenia takie jak: plik.js, program pobierający i plik wykonywalny. Trojan wykrywany jest, jako Gen:Trojan.Heur.AuW@Izubv1ni. Upominamy również użytkowników by unikali klikania nieznanych linków w wiadomościach e-mail, szczególnie wtedy, gdy wiadomości pochodzą od nieznanych adresatów. I przypominamy o aktualizacjach antywirusa pod kątem definicji najnowszych wirusów i zagrożeń, tak aby program był cały czas zdolna powstrzymać atak wymierzony w nasz komputer.

Ten artykuł został napisany w oparciu o próbki spamu udostępnione dzięki uprzejmości Adriana Mirona badaczem spamu w Bitdefender, Doina Cosovana badacza Bitdefender, których dostarczył informacji technicznych z ramienia grupy zajmującej się analizą wirusów, Octaviana Minea i Alexandru Maximciuca.