Phishing instala Banking Malware

Alert (TA14-300A)

Phishing Campanha vinculado com "Dyre" Banking Malware

Microsoft Windows

Visão global

Desde meados de outubro de 2014, uma campanha de phishing tem como alvo uma ampla variedade de destinatários ao empregar o malware bancário Dyre / Dyreza. Elementos desta campanha phishing variam de alvo em alvo, incluindo os remetentes, anexos, exploits, temas e carga útil (s). [1] [2] Embora esta campanha utiliza várias táticas, a intenção do ator é para atrair os destinatários a abrir anexos e download malware.

Descrição

O malware bancário Dyre visa especificamente as credenciais da conta do usuário sensíveis. O malware tem a capacidade de capturar informações de login do usuário e envia os dados capturados de atores maliciosos. [3] (link externo)e-mails de phishing utilizados nesta campanha, muitas vezes contêm um anexo de PDF como arma que tenta explorar vulnerabilidades encontradas em versões sem patch da Adobe Reader. [4] (link externo)[5] (link externo)Após a exploração bem-sucedida, o sistema de um usuário irá baixar Dyre de malware bancário. Todos os principais fornecedores de antivírus detectaram com sucesso este malware antes do lançamento do alerta.[6](link externo)

Por favor, note que a lista abaixo dos indicadores não representa todas as características e indicadores para esta campanha.

Phishing E-mail Características:

• Assunto: "Invoic não remunerado" ( erros ortográficos na linha de assunto são uma característica desta campanha )
• Anexo: Invoice621785.pdf

Sistema de Indicadores de nível (sobre exploração bem sucedida):

• Se copia em C: \ Windows \ [randomname] .exe
• Criou um serviço chamado "Google Update Service", definindo as seguintes chaves do Registro:
  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ GoogleUpdate \ ImagePath: "C: \ WINDOWS \ pfdOSwYjERDHrdV.exe"
  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ GoogleUpdate \ DisplayName: "Serviço de Atualização do Google"

Impacto

Um sistema infectado com malwares Dyre bancário tentará colher credenciais para serviços on-line, incluindo serviços bancários.

Solução

Os usuários e administradores são recomendados a tomar as seguintes medidas preventivas para proteger suas redes de computadores de phishing campanhas:

• Não siga links não solicitados em e-mail. Consulte a Dica de segurança Evitando engenharia social e ataques de phishing [7] para mais informações sobre ataques de engenharia social.
• Tenha cuidado ao abrir anexos de e-mail. Para informações sobre como manusear com segurança os anexos de e-mail, veja reconhecer e evitar e-mail scams . [8]
• Siga as práticas de segurança ao navegar na web. Veja bons hábitos de segurança [9] e salvaguarda dos seus dados [10] para obter detalhes adicionais.
• Manter-se-to-date software anti-vírus.
• Mantenha seu sistema operacional e software up-to-date com as últimas correções.

US-CERT recolhe mensagens de e-mail de phishing e locais site para que possamos ajudar as pessoas a evitar tornar-se vítimas de golpes de phishing.

Você pode denunciar phishing nos enviando e-mail para phishing-report@us-cert.gov (link envia e-mail).

Referências

• [1] MITRE Resumo da CVE-2013-2729, acessado 16 de outubro de 2014
• [2] MITRE Resumo da CVE-2010-0188, acessado 16 de outubro de 2014
• [3] Nova Banking Malware Dyreza, acessado 16 de outubro de 2014(link externo)
• [4] Adobe Atualizações de Segurança Dirigindo CVE-2013-2729, acessado 16 de outubro de 2014(link externo)
• [5] Adobe Atualizações de Segurança Dirigindo CVE-2010-0188, acessado 16 de outubro de 2014(link externo)
• [6] Análise VirusTotal, acessado 16 de outubro de 2014(link externo)
• [7] US-CERT Dica de segurança (ST04-014) Evitar engenharia social e ataques de phishing
• [8] US-CERT reconhecer e evitar e-mail scams
• [9] US-CERT Dica de Segurança (ST04-003) bons hábitos de segurança
• [10] US-CERT Dica de segurança (ST06-008) Salvaguardar os seus dados

Revisões

• 27 de outubro de 2014: Lançamento inicial