Dyre金融木馬大約在一年前出現(xiàn)，并且目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對(duì)全球1000多家銀行和其他公司的客戶(hù)進(jìn)行欺詐。在英語(yǔ)國(guó)家，尤其是美國(guó)和英國(guó)的客戶(hù)面臨最大的風(fēng)險(xiǎn)，這是因?yàn)楸绘i定為攻擊目標(biāo)的銀行大部分位于這些國(guó)家。

　　在Gameover Zeus、Shylock和Ramnit 等幾個(gè)重大金融威脅相繼被打擊后，由這些組織所造成的威脅已經(jīng)削弱，但Dyre現(xiàn)在已經(jīng)取而代之，成為普通客戶(hù)所面臨的主要威脅之一。

　　賽門(mén)鐵克公司檢測(cè)發(fā)現(xiàn)，Dyre的文件名為 Infostealer.Dyre，以Windows計(jì)算機(jī)為攻擊目標(biāo)，并且能夠通過(guò)攻擊三款主流Web瀏覽器（Internet Explorer、Chrome和Firefox）竊取銀行憑證和其他憑證。此外，Dyre將構(gòu)成雙重威脅。除竊取憑證外，它還能夠向受害者傳染其他類(lèi)型的惡意軟件，例如將用戶(hù)添加至垃圾郵件僵尸網(wǎng)絡(luò)。

　　一年內(nèi)的增長(zhǎng)

　　根據(jù)賽門(mén)鐵克安全響應(yīng)團(tuán)隊(duì)發(fā)布的技術(shù)白皮書(shū)顯示，感染Dyre的用戶(hù)從一年前開(kāi)始激增。這款?lèi)阂廛浖澈蟮墓粽卟粩嗵岣吖粜阅?，并持續(xù)構(gòu)建支持其發(fā)展的基礎(chǔ)設(shè)施。

　　由于攻擊者的目標(biāo)不僅僅是為了竊取金融機(jī)構(gòu)的信息，還抱有其他惡意目的，賽門(mén)鐵克所檢測(cè)到的活動(dòng)數(shù)量并不能確認(rèn)為實(shí)際的感染數(shù)量。賽門(mén)鐵克發(fā)現(xiàn)，一些國(guó)家擁有很高的活動(dòng)數(shù)量，但實(shí)際受到攻擊的銀行數(shù)量并不高。在過(guò)去一年中，賽門(mén)鐵克檢測(cè)到中國(guó)大約有1236次活動(dòng)，并未列入前十大受威脅嚴(yán)重的國(guó)家，僅有2家銀行成為攻擊目標(biāo)。

　　感染傳播途徑

　　Dyre主要通過(guò)垃圾郵件傳播。在大多數(shù)情況下，惡意電子郵件偽裝成商務(wù)文件、語(yǔ)音郵件或傳真消息。當(dāng)受害者點(diǎn)擊電子郵件附件，就會(huì)被重新定向到一個(gè)惡意網(wǎng)站，該網(wǎng)站將在受害者的電腦上安裝Upatre下載器。Upatre是金融欺詐組織最常用的偵測(cè)工具之一，此前Gameover Zeus和Cryptolocker組織都曾使用過(guò)該工具。它在受害者的計(jì)算機(jī)中充當(dāng)橋頭堡，收集相關(guān)信息以及試圖禁用安全軟件，最后下載并安裝Dyre木馬。

　　憑證竊取

　　Dyre能夠使用幾種不同類(lèi)型的瀏覽器中間人 （MITB）攻擊受害者的Web瀏覽器，從而竊取憑證。其中的一種MITB攻擊會(huì)將受害者瀏覽過(guò)的每一個(gè)網(wǎng)頁(yè)進(jìn)行掃描，并對(duì)照Dyre預(yù)先配置的攻擊網(wǎng)站清單進(jìn)行核查。如果找到匹配結(jié)果，該MITB就會(huì)將受害者重新定向到與真正網(wǎng)站外觀相似的虛假網(wǎng)站。該虛假網(wǎng)站將收集受害者的憑證，然后將其重新定向回原網(wǎng)站。

　　第二種MITB攻擊可以通過(guò)添加惡意代碼讓Dyre篡改合法站點(diǎn)在瀏覽器窗口中的顯示方式，進(jìn)而竊取受害者的登錄憑證。在某些情況下，Dyre還可能會(huì)顯示一個(gè)附加的虛假頁(yè)面，通知受害者其電腦無(wú)法被識(shí)別，并需要提供其他憑證來(lái)驗(yàn)證用戶(hù)身份，例如生日、PIN碼和信用卡詳細(xì)信息。（肖文）