Trojan s názvem Dyreza (či též Dyre) se objevil poprvé loni v červnu jako bankovní malware užívající takzvaného browser hookingu k zachytávání síťového provozu mezi obětí a cílovou webovou stránkou. Takto se díky němu útočníci mohli dostat k přihlašovacím údajům uživatele a ty následně zneužít.
Nyní to vypadá, že se Dyreza stahuje z bankovního sektoru a jeho novým zájmem jsou internetové obchody a distribuční sítě.
Nové verze Dyrezy jsou naprogramovány tak, aby kradly přihlašovací údaje z vyplněných objednávek, informace o skladových zásobách a další data týkající se obchodování na internetu. Podle analytiků z bezpečnostní společnosti Proofprint jde o jasnou změnu strategie útočníků využívající Dyrezu a cílení do nových oblastí.
„Předpokládáme, že motivace je finanční,“ uvádí ve své zprávě. „Jakmile útočník získá přihlašovací údaje klienta, má velkou šanci dostat se k jeho platebním údajům a realizovat podvodné finanční transakce nebo dokonce objednávky.“
Není to přitom poprvé, co se útočníci stojící za Dyrezou, zaměřili na nové „trhy“. V minulosti napadali rovněž pracovní portály, hostingové weby, webová úložiště či cloudový fenomén Salesforce.com. A jen za minulý měsíc přišli odborníci z Proofprintu na víc než třicítku webů, které přibyly do seznamu zájmů Dyrezy.
Většina z nich patří společnostem poskytujícím skladová úložiště, velkoobchody s výpočetní technikou nebo službám na zpracování platebních informací. Nechybí mezi nimi například Shopify, Apple nebo Iron Mountain.
„Poslední vývoj Dyrezy snad konečně jednou provždy rozptýlí představu, že podobný škodlivý software útočí jen na finanční instituce,“ uvádí Proofprint.
Způsob, jakým se Dyreza šíří, však zůstává stejný. Uživatelům se může do počítače dostat prostřednictvím phishingu, respektive podvodných e-mailů obsahujících dokumenty se škodlivými makry či skripty.
Jako příklad Proofprint uvádí sofistikovaný e-mail tvářící se jako bezpečná zpráva z banky s přiloženým dokumentem vybaveným logem a dalšími identifikačními údaji, obsahujícím šifrovaný text.
Následné kliknutí na pokyn „povolit obsah“ však tento text nedekóduje, zato spustí skript, který do počítače stáhne a nainstaluje bez povšimnutí Dyrezu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU