Novo Malware rouba dados de contas bancárias de empresas
Os especialistas em segurança da IBM descobriram uma campanha de malware muito sofisticado baseado no Dyre Trojan para hackear contas bancárias de empresas.
IBM descobriu uma operação criminosa cibernética importante apelidada A Dyre Lobo devido ao nome do popular Dyre malwares usados bandidos. O malware Dyre foi descoberto na natureza por várias empresas de segurança, em outubro de os EUA-CERT publicou um comunicado de segurança sobre o malware logo após os especialistas da equipe de segurança da IBM Trusteer descobriram um aumento no número de infecções de Dyre.
Em janeiro de 2015 os especialistas da TrendMicro detectado uma nova cepa do malware bancário Dyre / Dyreza com novas técnicas de propagação e evasão.
infecções Dyre IBM
As últimas operações baseadas em Dyre descobertos por especialistas da IBM foi semelhante aos anteriores, também neste caso, os atacantes utilizado spear phishing e-mails como vetores de infecções, maus atores enviados para as vítimas de um arquivo .zip com uma factura falsa, o EXE containsa arquivo ou arquivo SCR ter um ícone PDF embutido para enganar as vítimas.
No entanto, de acordo com os especialistas do nível de sofisticação e decepção que Dyre está implementando na última onda de ataques é sem precedentes. "
Depois de aberto, a vítima está infectado com o malware Upatre, um código malicioso usado como downloader para o agente Dyre.
"Uma vez Dyre é carregado, Upatre remove-se como tudo vai para a frente é o resultado da ampla funcionalidade da própria Dyre ", afirma o relatório publicado pela IBM .
Dyre implementa um ladrão de dados eficaz, é capaz de ligar para os navegadores da vítima para interceptar as credenciais do usuário quando ele o acesso a serviços bancários on-line e também para injetar código para alterar a percepção do usuário dos serviços e contornar os mecanismos de autenticação 2FA.
"A função para roubo de senhas de Dyre é o foco desta campanha, e, finalmente, o que é usado para transferir diretamente o dinheiro da conta da vítima. Dyre de configurar, muito parecido com Upatre 's, requer uma série de passos para permanecer furtivo que ajuda a espalhar-se para outras vítimas. ", continua o relatório. "Dyre usa seus meios técnicos indescritíveis para servir a vítima com mensagens falsas na tela para atraí-los para fornecer informações de identificação pessoal (PII) e autenticação de dois fatores (2FA) códigos (principalmente simbólicos gerados senhas de uso único). "
A nova campanha Dyre apresenta também características muito interessantes, uma vez que a vítima é infectado quando ele vai tentar o seu serviço bancário é exibida uma mensagem que lhe convidar para entrar em contato com um serviço ao cliente devido a um problema com o site do banco. Os operadores do call center falso são treinados para enganar vítimas em revelar informações pessoais e dados sensíveis, incluindo dados bancários.
"Uma vez que a vítima infectado tenta fazer logon para uma das centenas de sites de bancos para os quais Dyre está programado para monitorar, uma nova tela será exibida em vez do site de banco corporativo ", escreveu John Kuhn, pesquisador de ameaças sênior da IBM. "A página irá explicar o site está com problemas e que a vítima deve ligar para o número fornecido para obter ajuda log in." "Uma das muitas coisas interessantes com esta campanha é que os atacantes são ousados o suficiente para usar o mesmo número de telefone para cada site e saber quando as vítimas vão chamar e qual banco para responder como, "Kuhn blog.
Uma vez obtidos os dados bancários, o atacante acesso em conta e transferências de grandes somas de dinheiro para contas no exterior controlados pelos criminosos da vítima. Os especialistas estimam que bandidos já roubaram a uma quantidade de dinheiro entre US $ 500.000 e US $ 1 milhão.
Os atacantes parecem verdadeiros profissionais, que também atingiu as vítimas com ataque DDoS como uma tática diversionista.
"Os DDoS si parece ser volumétrica na natureza", de acordo com relatório da IBM. "Usando ataques de reflexão com NTP e DNS, os operadores Dyre Lobo é capaz de dominar qualquer recurso a jusante. Enquanto eles podem ter o potencial de atacar qualquer ponto externo na rede de uma empresa, os incidentes estamos acompanhando parecem concentrar-se no site da empresa. ", Afirma a análise da IBM.
Na sua forma atual, o malware parece estar possuído e operado por um cyber-gang fechado com sede na Europa Oriental, embora o código de malware em si poderia ser operado por várias equipes ligadas atacando diferentes geografias, IBM relatou.
Os pesquisadores especulam que a nova Dyre Operação é operado por uma gangue cibernética na Europa Oriental, os especialistas da IBM ficaram impressionados com o nível de dedicação e persistência dos atores de ameaça.
"A campanha Dyre Wolf está bem financiado , sofisticado e metódico no roubo off grandes somas de dinheiro. ", disse o engenheiro de segurança Adrian Ludwig.
Pierluigi Paganini
Comentários