Твитнуть
Исследователи Trend Micro сообщают об обнаружении новой версии банковского трояна Dyre (Dyreza). Теперь троян нацелен на большее количество банков и использует новые методы распространения и маскировки. В последние месяцы злоумышленники использовали спам-бот Cutwail для распространения трояна Dyre. Новая версия трояна использует более интересную технику распространения.
Атака начинается со спам-сообщения, содержащего загрузчик Upatre, замаскированный под факс. После исполнения, Upatre загружает новую версию трояна Dyre, который, в свою очередь, загружает червь WORM_MAILSPAM.XDP.
Червь использует Microsoft Outlook, установленной на скомпрометированном устройстве, для рассылки спама с прикрепленным загрузчиком Upatre. Для выполнения поставленной задачи, вредонос использует библиотеку msmapi32.dll в Outlook.
“Прикрепленный загрузчик Upatre загружает троян Dyre и цикл повторяется. Такая техника позволяет трояну Dyre автоматически генерировать спам-сообщения и распространяться даже быстрее, чем с помощью инфицированных пользователей”-поясняет Майкл Макрос, эксперт компании Trend Micro.
Изначально Dyre был разработан для кражи информации с 206 сайтов, но новая версия нацелена на 355 сайтов. Большинство недавно добавленных сайтов принадлежат банкам и Bitcoin-кошелькам.
В январе 68% случаев инфицирования Dyre были замечены в Соединенных Штатах, 10%- в Канаде и 4%- в Чили. Исследователи также заметили некоторые интересные методы защиты от обнаружения, например, использование SSL для защиты коммуникаций с C&C-серверами.
Dyre предназначен для подключения к C&C-серверам, адреса которых запрограммированы в двоичном виде. Если соединение не удается, троян пытается подключиться к URL, созданному с помощью программы генерации доменных имен.
Атака начинается со спам-сообщения, содержащего загрузчик Upatre, замаскированный под факс. После исполнения, Upatre загружает новую версию трояна Dyre, который, в свою очередь, загружает червь WORM_MAILSPAM.XDP.
Червь использует Microsoft Outlook, установленной на скомпрометированном устройстве, для рассылки спама с прикрепленным загрузчиком Upatre. Для выполнения поставленной задачи, вредонос использует библиотеку msmapi32.dll в Outlook.
“Прикрепленный загрузчик Upatre загружает троян Dyre и цикл повторяется. Такая техника позволяет трояну Dyre автоматически генерировать спам-сообщения и распространяться даже быстрее, чем с помощью инфицированных пользователей”-поясняет Майкл Макрос, эксперт компании Trend Micro.
Изначально Dyre был разработан для кражи информации с 206 сайтов, но новая версия нацелена на 355 сайтов. Большинство недавно добавленных сайтов принадлежат банкам и Bitcoin-кошелькам.
В январе 68% случаев инфицирования Dyre были замечены в Соединенных Штатах, 10%- в Канаде и 4%- в Чили. Исследователи также заметили некоторые интересные методы защиты от обнаружения, например, использование SSL для защиты коммуникаций с C&C-серверами.
Dyre предназначен для подключения к C&C-серверам, адреса которых запрограммированы в двоичном виде. Если соединение не удается, троян пытается подключиться к URL, созданному с помощью программы генерации доменных имен.