Dyreza, auch bekannt als Dyre, ist eine berüchtigte Art von Malware, insbesondere ein Banking-Trojaner, der auf Online-Banking-Transaktionen abzielt, um vertrauliche Finanzinformationen zu stehlen. Die Raffinesse von Dyreza liegt in seiner Fähigkeit, die SSL-Verschlüsselung zu umgehen und ihm Zugriff auf sensible Daten im Klartext zu gewähren.
Herkunft und erste Erwähnung von Dyreza
Der Banking-Trojaner Dyreza tauchte erstmals 2014 auf, als er von Forschern von PhishMe, einem Cybersicherheitsunternehmen, entdeckt wurde. Sie wurde im Rahmen einer ausgeklügelten Phishing-Kampagne identifiziert, die ahnungslose Opfer mit einem „Überweisungsbericht“ ansprach, dem die Malware in einer ZIP-Datei beigefügt war. Der Name „Dyreza“ leitet sich von der Zeichenfolge „dyre“ ab, die in der Binärdatei des Trojaners gefunden wurde, und „za“ ist ein Akronym für „Zeus-Alternative“ und verweist auf dessen Ähnlichkeiten mit dem berüchtigten Zeus-Trojaner.
Näheres zu Dyreza
Dyreza ist darauf ausgelegt, Anmeldeinformationen und andere vertrauliche Informationen von infizierten Systemen zu erfassen, insbesondere auf Bank-Websites. Es nutzt eine Technik, die als „Browser-Hooking“ bekannt ist, um den Webverkehr abzufangen und zu manipulieren. Dieser Trojaner unterscheidet sich von anderen Banking-Trojanern durch seine Fähigkeit, die SSL-Verschlüsselung (Secure Socket Layer) zu umgehen und so verschlüsselten Webverkehr zu lesen und zu manipulieren.
Die primäre Verbreitungsmethode für Dyreza sind Phishing-E-Mails, die Opfer dazu verleiten, den Trojaner herunterzuladen und auszuführen, oft getarnt als harmloses Dokument oder ZIP-Datei. Nach der Installation wartet Dyreza, bis der Benutzer zu einer Website von Interesse navigiert (normalerweise eine Bank-Website), woraufhin es aktiviert wird und mit der Datenerfassung beginnt.
Interne Struktur und Funktionsweise von Dyreza
Sobald Dyreza auf dem Rechner eines Opfers installiert ist, nutzt es einen „Man-in-the-Browser“-Angriff, um den Webverkehr zu überwachen. Dadurch kann die Malware zusätzliche Felder in Webformulare einfügen und Benutzer dazu verleiten, zusätzliche Informationen wie PIN-Nummern und TANs anzugeben. Dyreza verwendet auch eine Technik namens „Webinjects“, um den Inhalt einer Webseite zu ändern, indem er häufig Felder zu Formularen hinzufügt, um mehr Daten zu sammeln.
Dyrezas Umgehung von SSL wird erreicht, indem es sich in den Browserprozess einklinkt und den Datenverkehr abfängt, bevor er durch SSL verschlüsselt wird oder nachdem er entschlüsselt wurde. Dadurch kann Dyreza Daten im Klartext erfassen und dabei den von SSL gebotenen Schutz vollständig umgehen.
Hauptmerkmale von Dyreza
- Umgehen der SSL-Verschlüsselung: Dyreza kann den Webverkehr vor der Verschlüsselung oder nach der Entschlüsselung abfangen und Daten im Klartext erfassen.
- Man-in-the-Browser-Angriff: Durch die Überwachung des Webverkehrs kann Dyreza Webformulare manipulieren, um Benutzer dazu zu verleiten, zusätzliche vertrauliche Informationen anzugeben.
- Webinjects: Mit dieser Funktion kann Dyreza den Inhalt von Webseiten ändern, um mehr Daten zu sammeln.
- Multi-Vektor-Ansatz: Dyreza nutzt verschiedene Methoden, darunter Phishing-E-Mails und Exploit-Kits, um Systeme zu infiltrieren.
Arten von Dyreza
Obwohl es keine unterschiedlichen Arten von Dyreza gibt, wurden in freier Wildbahn unterschiedliche Versionen beobachtet. Diese Versionen unterscheiden sich in ihren Angriffsvektoren, Zielen und spezifischen Techniken, haben aber alle die gleiche Kernfunktionalität. Diese Variationen werden typischerweise als unterschiedliche Kampagnen und nicht als unterschiedliche Typen bezeichnet.
Verwendung, Probleme und Lösungen im Zusammenhang mit Dyreza
Dyreza stellt aufgrund seiner Fähigkeit, sensible Bankinformationen zu stehlen, eine erhebliche Bedrohung sowohl für einzelne Benutzer als auch für Organisationen dar. Die wichtigste Möglichkeit, das Risiko von Dyreza und ähnlichen Trojanern zu mindern, sind solide Cybersicherheitspraktiken. Dazu gehören die Pflege aktueller Antivirensoftware, die Aufklärung der Benutzer über die Gefahren von Phishing und der Einsatz von Systemen zur Erkennung von Eindringlingen.
Bei Verdacht auf eine Dyreza-Infektion ist es wichtig, den infizierten Computer vom Netzwerk zu trennen, um weiteren Datenverlust zu verhindern, und das System mit einem zuverlässigen Antiviren-Tool zu bereinigen. Für Organisationen kann es erforderlich sein, Kunden zu benachrichtigen und alle Online-Banking-Passwörter zu ändern.
Vergleiche mit ähnlicher Malware
Dyreza hat viele Eigenschaften mit anderen Banking-Trojanern wie Zeus und Bebloh gemeinsam. Sie alle nutzen Man-in-the-Browser-Angriffe, verwenden Webinjects, um Webinhalte zu verändern, und werden hauptsächlich über Phishing-Kampagnen verbreitet. Allerdings zeichnet sich Dyreza durch seine Fähigkeit aus, die SSL-Verschlüsselung zu umgehen, was bei Banking-Trojanern nicht üblich ist.
| Schadsoftware | Mann im Browser | Webinjects | SSL-Umgehung |
|---|---|---|---|
| Dyreza | Ja | Ja | Ja |
| Zeus | Ja | Ja | NEIN |
| Bebloh | Ja | Ja | NEIN |
Zukunftsperspektiven und Technologien im Zusammenhang mit Dyreza
Die Bedrohung durch Banking-Trojaner wie Dyreza nimmt weiter zu, da Cyberkriminelle immer raffinierter werden. Zukünftige Cybersicherheitstechnologien werden sich wahrscheinlich darauf konzentrieren, die Früherkennung dieser Bedrohungen zu verbessern und Techniken zur Identifizierung von Phishing-E-Mails und anderen Angriffsvektoren zu verfeinern.
Maschinelles Lernen und KI werden zunehmend in der Cybersicherheit eingesetzt, da sie Muster und Anomalien erkennen können, die auf eine Bedrohung hinweisen können. Diese Technologien könnten sich als entscheidend für die Bekämpfung der künftigen Entwicklung von Bedrohungen wie Dyreza erweisen.
Zuordnung von Proxyservern zu Dyreza
Proxyserver werden häufig von Malware wie Dyreza verwendet, um ihre Kommunikation mit Command-and-Control-Servern zu verbergen. Durch die Weiterleitung des Datenverkehrs über mehrere Proxys können Cyberkriminelle ihren Standort verbergen und die Rückverfolgung ihres Datenverkehrs erschweren.
Umgekehrt können auch Proxy-Server Teil der Lösung sein. Sie können beispielsweise so konfiguriert werden, dass sie bekannte bösartige IP-Adressen blockieren oder verdächtige Verkehrsmuster erkennen und blockieren, was sie zu einem wertvollen Bestandteil einer robusten Cybersicherheitsstrategie macht.
verwandte Links
Weitere Informationen über Dyreza und wie Sie sich davor schützen können, finden Sie in den folgenden Ressourcen:
