百万美金大盗Dyre银行木马死灰复燃 Fidelis公司9月发现变种木马TrickBot

曾今窃取了超过100万美金的银行木马Dyre(Dyreza)又开始死灰复燃,Fidelis报告称Dyre的开发者中至少有一人开始开发新的恶意软件,名为“TrickBot”。这个恶意软件在9月份被发现,大家要提高警惕。

Fidelis Cybersecurity确定TrickBot与Dyre有关联

过去几年来,Dyre感染了全球数以十万记的设备,从上千家银行和其他组织的用户手中窃取敏感信息。然而,Dyre于2015年11月中旬主动停止了活动。这个时间点表明,Dyre停止活动很可能与俄国当局进行的打击活动有关。

银行木马Dyre不仅入侵计算机更控制其加入僵尸网络

DYRE采用非常典型的攻击方式感染受害者电脑——攻击者向受害者发送垃圾邮件,附件中包含UPATRE downloader(TROJ_UPATRE.SMBG)进而感染系统。

IBM的安全报告称,

IBM 安全识别到恶意软件的攻击活动,这一系列活动是利用 Dyre 恶意软件发起的,攻击者从目标企业中窃取超过 100 万美金。 由于这些恶劣影响,IBM 安全研究人员将这个恶意软件称为“Dyre Wolf”。

Heimdal安全公司的报告称,

通过增加对于Windows 10的支持,Dyreza恶意软件制作者已经逐步清晰了扩展他们的僵尸网络中电脑数量的方式。这次金融木马不仅窃取被感染的计算机中的敏感数据,也会控制这些计算机加入他们的僵尸网络。
据估计,全球大约有8万台机器已经感染了Dyreza,并且这个数字还在持续增加中
Dyre可以将自己的恶意代码注入到如下浏览器进程中,包括“chrome.exe”,“chromium.exe”,“firefox.exe”,“IEXPLORE.EXE”,“Microsoft Edge”

Dyre感染的系统包括

  • Win 7
  • Win 7 SP1
  • Win XP
  • Win 8
  • Win 8.1
  • Win Server 2003
  • Win Vista SP2
  • Win Vista
  • Win Vista SP1
  • Win 10 IP.

Fidelis Cybersecurity9月发现TrickBot与Dyre有关联

虽然Dyre的部分开发者可能已被逮捕,但一个或更多开发者可能逃过了打击,并启动了新的项目。Fidelis Cybersecurity的研究人员确定,新恶意软件TrickBot似乎与Dyre有很强的关联。

这家安全公司在9月份第一次发现TrickBot的存在,并观察到这个恶意软件正瞄准澳大利亚银行的用户,包括澳新银行、西太平洋银行、圣乔治银行、和澳洲国民银行的用户。TrickBot的配置文件还包含加拿大帝国商业银行网站的URL。

Fidelis Cybersecurity的研究人员解释说:

“我们非常有信心地认为,Dyre和TrickBot之间有明显的联系,但TrickBot中采用了很多新的开发。我们有中等把握,至少有一个Dyre开发者参与到了TrickBot的开发之中。”

F5的报告称:

Dyre的作者已经将一些现有的命令更名,并添加新的功能。新的命令用于获得命令和控制的IP(C&C)服务器,僵尸网络名称,假页面配置,服务器端webinjects配置,实施帐户信息窃取的小马模块和防杀毒模块。

Fidelis Cybersecurity是做什么的

据其官方资料称,Fidelis通过通过识别和屏蔽攻击者,来保护客户的敏感数据,无论攻击者隐藏在您网络和终端上的什么位置。该公司主要有两个产品,Fidelis Network™入侵检测及Fidelis Endpoint™终端防护。

银行木马TrickBot工作机制

TrickBot的功能与Dyre非常相似,但编码风格不同,似乎被重写过。例如,Dyre主要使用C代码,而新木马包含更多C++代码。另外,TrickBot使用微软的CryptoAPI,而不是AES和SHA-256的内置函数。另一个不同之处在于,TrickBot不像Dyre那样直接运行命令,而是通过COM标准来连接任务计划程序,以实现持久性。

据Fidelis Cybersecurity所称,恶意软件加载器(TrickLoader)使用的自定义加密器也被恶意软件Vawtrak、Pushdo和Cutwail采用。Cutwail是一个垃圾邮件程序,过去常常被Dyre团伙用在垃圾邮件行动中。现在看来,网络犯罪分子正试图重建他们的Cutwail僵尸网络。

研究人员分析的第一个TrickBot样例带有一个单独的模块,这个模块用于收集被感染设备的系统信息。10中旬,研究人员发现用于浏览器感染的新模块,但web感染似乎还处在测试阶段。

TrickBot银行木马详细的分析报告见这里:http://www.threatgeek.com/2016/10/trickbot-the-dyre-connection.html

银行木马是什么

银行木马通常的目的就是窃取用户资金。

  • 第一代是在2001年之前的变种,作为普通后门,进驻用户PC。接着黑客通过后门进入,并获得对用户信息的访问。
  • 第二代银行木马针对性更强,预先打包,然后寻找所需信息、自动实施盗窃。
  • 第三代银行木马事实上可以自动模拟用户行为。

发表评论