Dyreza, noto anche come Dyre, è un noto tipo di malware, in particolare un trojan bancario, che prende di mira le transazioni bancarie online per rubare informazioni finanziarie sensibili. La sofisticatezza di Dyreza risiede nella sua capacità di aggirare la crittografia SSL, garantendogli l'accesso ai dati sensibili in chiaro.
Origine e prima menzione di Dyreza
Il trojan bancario Dyreza è venuto alla luce per la prima volta nel 2014, quando è stato scoperto dai ricercatori di PhishMe, una società di sicurezza informatica. È stato identificato in una sofisticata campagna di phishing che prendeva di mira vittime ignare con un "rapporto di bonifico bancario" che conteneva il malware allegato in un file ZIP. Il nome "Dyreza" deriva dalla stringa "dyre" trovata nel codice binario del Trojan e "za" è l'acronimo di "alternativa a Zeus", in riferimento alle sue somiglianze con il famigerato Trojan Zeus.
Elaborazione su Dyreza
Dyreza è progettato per acquisire credenziali e altre informazioni sensibili dai sistemi infetti, prendendo di mira in particolare i siti Web bancari. Utilizza una tecnica nota come “browser hooking” per intercettare e manipolare il traffico web. Questo Trojan è diverso dagli altri Trojan bancari per la sua capacità di aggirare la crittografia SSL (Secure Socket Layer), consentendogli di leggere e manipolare il traffico web crittografato.
Il metodo di distribuzione principale di Dyreza sono le e-mail di phishing che inducono le vittime a scaricare ed eseguire il trojan, spesso mascherato da documento innocuo o file zip. Una volta installato, Dyreza attende che l'utente raggiunga un sito web di interesse (solitamente un sito bancario), a quel punto si attiva e inizia ad acquisire dati.
Struttura interna e funzionamento di Dyreza
Una volta installato sul computer della vittima, Dyreza utilizza un attacco "man-in-the-browser" per monitorare il traffico web. Ciò consente al malware di inserire campi aggiuntivi nei moduli web, inducendo gli utenti a fornire informazioni aggiuntive come numeri PIN e TAN. Dyreza utilizza anche una tecnica chiamata “webinject” per alterare il contenuto di una pagina web, spesso aggiungendo campi ai moduli per raccogliere più dati.
Il bypass di SSL da parte di Dyreza viene ottenuto agganciandosi al processo del browser e intercettando il traffico prima che venga crittografato da SSL o dopo che sia stato decrittografato. Ciò consente a Dyreza di acquisire dati in chiaro, aggirando completamente le protezioni offerte da SSL.
Caratteristiche principali di Dyreza
- Bypassare la crittografia SSL: Dyreza può intercettare il traffico web prima che venga crittografato o dopo che sia stato decrittografato, acquisendo i dati in testo normale.
- Attacco man-in-the-browser: monitorando il traffico web, Dyreza può manipolare i moduli web per indurre gli utenti a fornire ulteriori informazioni sensibili.
- Webinjects: questa funzionalità consente a Dyreza di modificare il contenuto delle pagine web per raccogliere più dati.
- Approccio multi-vettore: Dyreza utilizza vari metodi, tra cui e-mail di phishing e kit di exploit, per infiltrarsi nei sistemi.
Tipi di Dyreza
Sebbene non esistano tipi distinti di Dyreza, sono state osservate diverse versioni in natura. Queste versioni differiscono per vettori di attacco, bersagli e tecniche specifiche, ma condividono tutte le stesse funzionalità principali. Queste variazioni vengono generalmente definite campagne diverse anziché tipi diversi.
Utilizzo, problemi e soluzioni relativi a Dyreza
Dyreza rappresenta una minaccia significativa sia per i singoli utenti che per le organizzazioni grazie alla sua capacità di rubare informazioni bancarie sensibili. Il modo principale per mitigare il rischio di Dyreza e trojan simili è attraverso solide pratiche di sicurezza informatica. Questi includono il mantenimento di software antivirus aggiornato, l’educazione degli utenti sui pericoli del phishing e l’utilizzo di sistemi di rilevamento delle intrusioni.
Se si sospetta un'infezione da Dyreza, è fondamentale disconnettere la macchina infetta dalla rete per prevenire ulteriori perdite di dati e pulire il sistema utilizzando uno strumento antivirus affidabile. Per le organizzazioni, potrebbe essere necessario avvisare i clienti e modificare tutte le password dell'online banking.
Confronti con malware simili
Dyreza condivide molte caratteristiche con altri trojan bancari, come Zeus e Bebloh. Usano tutti attacchi man-in-the-browser, utilizzano webinject per alterare i contenuti web e vengono distribuiti principalmente attraverso campagne di phishing. Tuttavia, Dyreza si distingue per la sua capacità di aggirare la crittografia SSL, che non è una caratteristica comune tra i trojan bancari.
| Malware | L'uomo nel browser | Webinject | Esclusione SSL |
|---|---|---|---|
| Dyreza | SÌ | SÌ | SÌ |
| Zeus | SÌ | SÌ | NO |
| Bebloh | SÌ | SÌ | NO |
Prospettive future e tecnologie legate a Dyreza
La minaccia dei trojan bancari come Dyreza continua ad evolversi man mano che i criminali informatici diventano più sofisticati. La futura tecnologia di sicurezza informatica si concentrerà probabilmente sul miglioramento del rilevamento precoce di queste minacce e sul perfezionamento delle tecniche per identificare le e-mail di phishing e altri vettori di attacco.
L’apprendimento automatico e l’intelligenza artificiale vengono sempre più utilizzati nella sicurezza informatica per la loro capacità di identificare modelli e anomalie che potrebbero indicare una minaccia. Queste tecnologie potrebbero rivelarsi cruciali nel contrastare la futura evoluzione di minacce come Dyreza.
Associazione dei server proxy con Dyreza
I server proxy vengono spesso utilizzati da malware come Dyreza per nascondere la loro comunicazione con i server di comando e controllo. Instradando il traffico attraverso più proxy, i criminali informatici possono nascondere la propria posizione e rendere più difficile tracciare il traffico.
D’altro canto, anche i server proxy possono far parte della soluzione. Ad esempio, possono essere configurati per bloccare indirizzi IP dannosi noti o per rilevare e bloccare modelli di traffico sospetti, rendendoli una parte preziosa di una solida strategia di sicurezza informatica.
Link correlati
Per ulteriori informazioni su Dyreza e su come proteggersi, puoi visitare le seguenti risorse:
