Jak donoszą analitycy malware w firmie Bitdefender, ruszyła kolejna globalna kampania spamu zawierająca trojana bankowego Dyre, który używa różnych metod, by zmaksymalizować swoją skuteczność.
Tysiące ludzi otrzymało informację, by pobrać archiwum zawierające złośliwy plik .exe, który rzekomo pochodzi od doradcy podatkowego. Tym razem, aby przekonać użytkownika o prawdziwości informacji zawartej w wiadomości spamerzy wysłali nie jeden, a trzy e-maile wysyłane dzień po dniu. Pierwszy e-mail nakłania odbiorcę do zapoznania się ze spakowanym załącznikiem, który ma dostarczyć informacji w celu sfinalizowania transakcji finansowej. Bardzo podobny e-mail, wysłany kolejnego dnia kampanii spamu, udaje dołączoną dokumentację finansową i pyta użytkownika o weryfikację jego autentyczności. Kolejny e-mail ma nakłonić użytkownika do otworzenia załącznika grożąc karami dla jego firmy.
Spakowany plik z załącznika, to plik wykonywalny exe, który działa jak downloader, który pobiera i uruchamia trojana Dyreza, znanego również, jako Dyre.
Pierwsze wzmianki o Dyre pochodzą z 2014 roku, kiedy to upodobnił się do innego znanego trojana – Zeus. Dyre instaluje się na komputerze użytkownika i staje się aktywny tylko wtedy, gdy użytkownik wprowadzi dane uwierzytelniające w określonym miejscu, np. na stronie logowania banku lub usługi finansowej. Poprzez atak man-in-the-browser (zainfekowaną przeglądarkę internetową) hakerzy wstrzykują złośliwy skrypt JavaScript, który pozwala ukraść poświadczenia i ukryciu manipulować kontami.
Badacze malware w Bitdefender ominęli szyfrowanie komunikacji między zainfekowanym komputerem a zbierającym skradzione informacje serwerem oraz zidentyfikowali strony internetowe, z których pobierano dane. Najbardziej narażeni byli klienci renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Niemiec, Danii, Australii, Rumunii i Francji.
[USA] Klienci: Bank of America, Citibank, Wells Fargo, JP Morgan Chase i PayPal mogli zostać narażeni na kradzież.
[UK] Klienci Barclays, Royal Bank of Scotland, HSBC, Lloyds Bank, Santander, mogli stać się ofiarą przekierowań hakerów.
[Niemcy] Deutsche Bank, Valovis Bank oraz klienci volkswagenbank.de mogli stracić swoje poświadczenia (logi/hasło) oraz pieniądze z kont.
[Australia] Hakerzy zaatakowali klientów Banku Melbourne i lokalnych jednostek ING, Citibank i HSBC.
Według laboratorium Bitdefender 19 tysięcy e-maili zawierających złośliwe oprogramowani zostało wysłane w ciągu trzech dni z serwerów spamu znajdujących się w Stanach Zjednoczonych, na Tajwanie, w Hong Kongu, Danii, Rosji, Chinach, Korei Południowej, Wielkiej Brytanii, Australii i kilku innych Państwach.
Producent oprogramowania Bitdefender, który wykrywa i blokuje zagrożenia, przypomina użytkownikom, aby nie klikali łączy w wiadomościach e-mail od nieznanych adresów e-mail oraz dbali o bieżącą aktualizację oprogramowania antywirusowego.
