За первые три месяца текущего года троянец Dyre резко поднялся ввысь в иерархии финансовых зловредов. Недавно злоумышленники из Восточной Европы, распространяющие Dyreza/Dyre, добавили в свой арсенал еще один элемент социальной инженерии — учредили call-центр, чтобы выуживать у жертв пароли и одноразовые коды транзакций, рассылаемые в рамках систем двухфакторной аутентификации.

Новый трюк обнаружили исследователи из IBM, которые уже зафиксировали ряд мошеннических транзакций, осуществляемых с помощью этого нововведения. По их оценке, расширение мошеннической схемы за счет ввода в строй подставного call-центра уже принесло операторам Dyre более $1 млн. «Они действительно радикально изменили подход и технологию в первом квартале», — комментирует Джон Кун (John Kuhn), старший вирусный аналитик из подразделения управляемых услуг IBM по обеспечению информационной безопасности.

Помимо новой социально-инженерной уловки операторы Dyre теперь применяют DDoS в качестве дымовой завесы, позволяющей опустошить солидный счет буквально за секунды. DDoS-атака против банка или его корпоративного клиента служит отвлекающим маневром и помогает злоумышленникам беспрепятственно совершать кражи. С конца прошлого года популяция Dyre, по свидетельству Куна, возросла почти на порядок, счет детектов пошел уже на тысячи.

«Добыча паролей с помощью call-центра — это весьма смелое нововведение», — констатирует эксперт. Опрошенные IBM жертвы-американцы утверждают, что отвечающие на звонки мошенники хорошо говорят по-английски и не дают ни малейшего повода заподозрить обман.

Маскировочные DDoS, по словам Куна, применяются избирательно, лишь в тех случаях, когда мошенники выводят большие суммы. «Чтобы выиграть время при отъеме денег, они проводят против целевой организации мощную DDoS-атаку по методу отражения, — поясняет Кун. — Их цель — отвлечь ресурсы [во время мошеннической транзакции] или вызвать их истощение, чтобы жертва не смогла вновь зайти в банковский аккаунт».

Троянец Dyre существует в Сети около года и уже причинил много неприятностей, причем не только финансовым организациям. Он был замечен в краже учетных данных Salesforce.com, а также в использовании Windows-эксплойта против той же уязвимости, которую атаковала APT-группа Sandworm.

По схеме заражения Dyre мало отличается от других банкеров, таких как ZeuS и его итерации. Он обычно распространяется через ссылки или вложения в целевых фишинговых письмах, предназначенных определенному служащему или группе служащих в организации. В случае успеха на машину жертвы вначале устанавливается даунлоудер Upatre, который открывает бэкдор и загружает Dyre. Вооруженный веб-инжектами для сотен банков, троянец отслеживает заходы жертвы в корпоративный банковский аккаунт и отображает ей сообщение о проблеме, предлагая позвонить по бесплатному номеру.

С помощью социальной инженерии злоумышленники выуживают у жертвы информацию, позволяющую обойти меры против мошенничества, введенные банком. После этого они выводят деньги на сторонние счета — под прикрытием DDoS-атаки, если суммы достаточно велики.

IBM также отметила, что операторы Dyre заботятся о сохранении жизнеспособности операций, приносящих им миллионы. «Мы отслеживаем сэмплы Upatre, которые множатся с частотой 10–20 в сутки или даже больше. Злоумышленники постоянно его переписывают и видоизменяют, чтобы уберечь от детектирования, — комментирует Кун. — У них, видимо, хорошая техподдержка, которая ведет всесторонний учет. Эта практика себя оправдывает, помогая им доставлять Upatre в обход периметровой защиты».

Согласно наблюдениям IBM, с начала года код Upatre уже несколько раз подвергался пересмотру. «В некоторых случаях код был полностью переписан, — пишет Кун. — Мы подвергаем код обратному инжинирингу, и иногда он совсем иной. Они постоянно меняют имена, хэши, способ сжатия, даже иконку вложения. Жертве предлагается исполняемый .scr, однако иконка уверяет, что это pdf-файл».

Статистика IBM показывает, что Dyre — самый плодовитый из современных банкеров, по популяции он обогнал Neverquest, Bugat, ZeuS и пару бразильских троянцев. И число таких заражений продолжает расти, особенно в Северной Америке, где детектов Dyre почти в два раза больше, чем в Европе.

«Предложение позвонить и DDoS-атаки — это разительные перемены, — заключает Кун. — Не знаю, есть ли еще какая-либо кампания или троянец, которые бы атаковали бизнес-структуры, а не индивидуальных пользователей. Эти злоумышленники охотятся за большими деньгами, и весьма успешно».

Категории: Вредоносные программы, Мошенничество