Департамент государственной безопасности США официально признал серьезность угрозы, которую представляет собой банковский троян Dyre, атакующий как крупные предприятия, так и финансовые учреждения.

Американская группа быстрого реагирования на компьютерные инциденты (US-CERT) опубликовала предупреждение, информируя пользователей о зловреде, распространяемом через спам-рассылки и фишинговые сообщения.

Как отмечено в этом алерте, в настоящее время Dyre раздается посредством вредоносных PDF-вложений, использующих уязвимости (в том числе CVE-2013-2729) в устаревших и непропатченных версиях Adobe Reader. После запуска на компьютере жертвы банкер похищает учетные данные пользователя и отправляет их мошенникам.

Эксперты рекомендуют пользователям проявлять осмотрительность в отношении вложений, особенно снабженных подозрительными именами вроде Invoice621785.pdf, а также присылаемых ссылок.

После инсталляции зловред копирует себя в директорию как C:\\Windows\[RandomName].exe и маскируется под несуществующую программу Google Update Service.

Троян Dyre существует в разных вариантах с начала лета; текущая вредоносная кампания, по словам US-CERT, была запущена в середине октября.

В прошлом месяце Salesforce.com сообщила о том, что зловред, известный как Dyreza, атакует ее пользователей. В данном случае злоумышленники использовали банкер для проведения MitM-атак, при успехе которых «могли читать все, включая SSL-трафик, в открытом виде», утверждали в то время эксперты из CSIS.

Другая итерация трояна, обнаруженная несколькими днями позже, была нацелена на кражу клиентских сертификатов и файлов cookie из браузера. Это наводит на мысль, что некоторые версии Dyre эволюционировали и превзошли «первопроходцев», появившихся в июне.

Категории: Вредоносные программы