Uma vez que a vítima infectada tenta fazer login para uma das centenas de sites de bancos para os quais Dyre está programado para realizar monitoramento, uma nova tela será exibida ao invés de ser a do site de banco corporativo. A página irá explicar que o site está com problemas e que a vítima deve ligar para o número fornecido para obter ajuda no login. Uma das muitas coisas interessantes que vem com esta campanha é que os atacantes são ousados o suficiente para usar o mesmo número de telefone para cada site. Todas essas combinações de métodos utilizados, resultaram em enganar com sucesso as suas vítimas, fazendo com que elas fornecessem as suas credenciais bancárias.
"Dyre" é Voltado ao Roubo de Credenciais Bancárias
O malware conhecido como Dyre, foi projetado principalmente para roubar credenciais bancárias. ele foi descoberto no final do ano de 2014, de acordo com Ronnie Tokazowski, um pesquisador sênior da PhishMe. "Dyre" tem um direcionamento, pois vai atrás de bancos específicos, incluindo Bank of America e Citigroup. Além disso, Dyre também monitora o tráfego de rede e ignora os mecanismos de SSL em navegadores, bem como é capaz de modificar o tráfego de rede e redirecionar os usuários de volta para sites legítimos; ele usa uma técnica conhecida como "browser hooking", a fim de roubar dados de login apresentados pouco antes da informação ser criptografada. Em testes realizados, quando os dados foram processados, o navegador do usuário apontou para HTTPS, permanecendo encriptado mesmo após a apresentação da informação, e não deu indicações para o usuário que seu computador foi infectado. Além disso, o malware está a uma pequena alteração de código em relação à capacidade de roubar credenciais do Facebook, Gmail e outras contas que passam através de protocolo HTTPS.
Dyre foi inicialmente identificado em um novo esquema de phishing, que de acordo com uma análise feita por pesquisadores de segurança, provavelmente surge a partir dos mesmos criminosos responsáveis pela campanha de phishing do Dropbox, que pode ter resultado em 350 mil infecções devido à práticas de ransomware e um ganho de mais de US$ 70.000 em Bitcoins. Desta vez, os e-mails que alegavam conter faturas ou informações fiscais federais estariam linkando destinatários para Cubby, um serviço de armazenamento semelhante ao Dropbox, Quando o arquivo com a extensão ZIP é baixado e aberto, os usuários que executam o arquivo de screensaver passam a ser infectados com o malware Dyre.
Apesar de sua semelhança com outros tipos de malware, foi realizada uma extensa pesquisa de código aberto - baseado em strings, domínios de infra-estrutura, código e outros ítens - e não foi encontrado qualquer pista para provar que o malware Dyre tinha sido documentado anteriormente. O especialista Tokazowski "estendeu a mão" para especialistas em crimeware, pedindo ajuda para que verificassem se este malware, de fato, era novo. A conclusão geral é que este era, na verdade, uma nova amostra de malware, que tinha como meta atacar empresas.
Campo de Batalha de Detecção de Ameaças
A detecção de ameças no "battleground" mudou bastante em seu modo prático. Na verdade, esta corrida armamentista de malware "detect-and-evade" gerou uma diversidade de jargões técnicos, tais como:
- Polimorfismo: o truque mencionado "que muda de forma", onde cada amostra das pragas que surgem é diferente. Um vírus com uma chave de decodificação aleatória de 32 bits precisaria de quatro bilhões de assinaturas (232) para detectar a maneira old-fashioned.
- Furtivo. Uma vez ativo, os truques de malware no sistema operacional mostram que os arquivos infectados estão limpos, então um scanner atesta que nenhuma ameaça foi detectada.
- Rootkit. Um componente de malware responsável pela discrição, muitas vezes sendo executado dentro do kernel para subverter o próprio sistema operacional. Rootkits podem não só tornar os malware difíceis de encontrar, mas também podem protegê-lo de ser excluído, uma vez que você possa suspeitar que ele está lá.
-Tunnelling. O vírus realiza seu trabalho sujo de maneiras não documentadas ou "nos bastidores", com a intenção de contornar o bloqueador de vírus. Por exemplo, se você tem um filtro que bloqueia gravações para arquivos .exe, o vírus pode gravar em um arquivo .BAK e depois renomeá-lo.
- Decoy file. O malware faz o seu trabalho sujo, e, em seguida, remove os arquivos maliciosos e substitui os mesmos com algo legítimo a um primeiro momento, como um documento que contém um artigo ou um programa inofensivo.
- Anti-anti-vírus. O malware inclui o código anti-vírus para cuidar de sua execução, e, em seguida, vai para a "guerra" com ele, ou seja, literalmente entra em ação. Talvez ele possa eliminar seus processos; substanciando com dados falsos em massa. Um truque anti-anti-vírus muito comum nos dias de hoje é para verificar se malware está sendo executado sob a virtualização. Virtualização é quando você faz com que um computador físico e faz este computador fingir ser um ou mais pseudo-computadores, conhecidos como máquinas virtuais (VMs). Dentro dessas VMs, conhecidos como guests, você pode então instalar uma gama de diferentes sistemas operacionais e aplicativos. O computador físico, conhecido como host, atua como o gerente geral dos hóspedes virtuais; isto é extremamente útil para pesquisa de malware, especialmente para testes automáticos de malware, processos de replicação e análise.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3007