Dyreza, також відомий як Dyre, є сумнозвісним типом зловмисного програмного забезпечення, зокрема банківським трояном, який націлений на банківські транзакції в Інтернеті для викрадення конфіденційної фінансової інформації. Витонченість Dyreza полягає в його здатності обходити шифрування SSL, надаючи йому доступ до конфіденційних даних у відкритому вигляді.
Походження та перша згадка про Дирезу
Банківський троян Dyreza вперше з’явився в 2014 році, коли його виявили дослідники PhishMe, компанії з кібербезпеки. Його було виявлено під час складної фішингової кампанії, яка націлювалася на нічого не підозрюючих жертв за допомогою «звіту про банківський переказ», у якому зловмисне програмне забезпечення було вкладено у файл ZIP. Назва «Dyreza» походить від рядка «dyre», знайденого в двійковому файлі трояна, а «za» є абревіатурою «Zeus alternative», що вказує на його схожість із сумнозвісним Zeus Trojan.
Розробляючи Дирезу
Dyreza призначена для захоплення облікових даних та іншої конфіденційної інформації із заражених систем, зокрема на банківських веб-сайтах. Він використовує техніку, відому як «перехоплення браузера», щоб перехоплювати та маніпулювати веб-трафіком. Цей троян відрізняється від інших банківських троянів своєю здатністю обходити шифрування SSL (Secure Socket Layer), дозволяючи йому читати та маніпулювати зашифрованим веб-трафіком.
Основним методом розповсюдження Dyreza є фішингові електронні листи, які обманом спонукають жертв завантажити та запустити троян, часто замаскований під нешкідливий документ або zip-файл. Після встановлення Dyreza чекає, доки користувач перейде на цікавий веб-сайт (зазвичай веб-сайт банку), після чого активується та починає збирати дані.
Внутрішня будова та робота Дирези
Після встановлення на комп’ютері жертви Dyreza використовує атаку «людина в браузері» для моніторингу веб-трафіку. Це дозволяє зловмисному програмному забезпеченню вставляти додаткові поля у веб-форми, обманом змушуючи користувачів надавати додаткову інформацію, таку як PIN-код і номер TAN. Dyreza також використовує техніку під назвою «webinjects», щоб змінити вміст веб-сторінки, часто додаючи поля до форм, щоб зібрати більше даних.
Обхід SSL Dyreza досягається шляхом підключення до процесу браузера та перехоплення трафіку до того, як він буде зашифрований SSL або після того, як його буде розшифровано. Це дозволяє Dyreza отримувати дані у вигляді відкритого тексту, повністю обходячи захист, який пропонує SSL.
Основні характеристики Dyreza
- Обхід шифрування SSL: Dyreza може перехоплювати веб-трафік до його шифрування або після розшифровки, захоплюючи дані у вигляді відкритого тексту.
- Атака Man-in-the-Browser. Відстежуючи веб-трафік, Dyreza може маніпулювати веб-формами, щоб обманом змусити користувачів надати додаткову конфіденційну інформацію.
- Webinjects: Ця функція дозволяє Dyreza змінювати вміст веб-сторінок, щоб збирати більше даних.
- Багатовекторний підхід: Dyreza використовує різні методи, включаючи фішингові електронні листи та набори експлойтів, щоб проникнути в системи.
Види дирези
Хоча немає чітких типів Dyreza, у дикій природі спостерігаються різні версії. Ці версії відрізняються векторами атаки, цілями та спеціальними методами, але всі вони мають однакові основні функції. Ці варіанти зазвичай називають різними кампаніями, а не різними типами.
Використання, проблеми та рішення, пов’язані з Dyreza
Dyreza становить серйозну загрозу як для окремих користувачів, так і для організацій через свою здатність викрадати конфіденційну банківську інформацію. Основний спосіб зменшити ризики Dyreza та подібних троянів — за допомогою надійних методів кібербезпеки. До них належать підтримка актуального антивірусного програмного забезпечення, навчання користувачів про небезпеку фішингу та використання систем виявлення вторгнень.
Якщо є підозра на зараження Dyreza, дуже важливо від’єднати заражену машину від мережі, щоб запобігти подальшій втраті даних і очистити систему за допомогою надійного антивірусного засобу. Організаціям може знадобитися повідомити клієнтів і змінити всі паролі онлайн-банкінгу.
Порівняння з подібними шкідливими програмами
Dyreza має багато спільних рис з іншими банківськими троянами, такими як Zeus і Bebloh. Усі вони використовують атаки «людина в браузері», використовують веб-ін’єкти для зміни веб-вмісту та в основному поширюються через фішингові кампанії. Однак Dyreza вирізняється здатністю обходити шифрування SSL, що не є поширеною рисою серед банківських троянів.
| Шкідливе програмне забезпечення | Людина в браузері | Webinjects | Обхід SSL |
|---|---|---|---|
| Диреза | Так | Так | Так |
| Зевс | Так | Так | Немає |
| Бебло | Так | Так | Немає |
Майбутні перспективи та технології, пов’язані з Dyreza
Загроза банківських троянів, таких як Dyreza, продовжує розвиватися, оскільки кіберзлочинці стають все більш досвідченими. Майбутня технологія кібербезпеки, ймовірно, буде зосереджена на вдосконаленні раннього виявлення цих загроз і вдосконаленні методів виявлення фішингових електронних листів та інших векторів атак.
Машинне навчання та штучний інтелект все частіше використовуються в кібербезпеці через їх здатність визначати шаблони та аномалії, які можуть вказувати на загрозу. Ці технології можуть виявитися вирішальними в боротьбі з майбутньою еволюцією таких загроз, як Dyreza.
Асоціація проксі-серверів з Dyreza
Проксі-сервери часто використовуються зловмисним програмним забезпеченням, таким як Dyreza, щоб приховати свій зв’язок із серверами керування. Направляючи трафік через кілька проксі-серверів, кіберзлочинці можуть приховати своє місцезнаходження та ускладнити відстеження свого трафіку.
З іншого боку, проксі-сервери також можуть бути частиною рішення. Наприклад, їх можна налаштувати для блокування відомих шкідливих IP-адрес або виявлення та блокування підозрілих шаблонів трафіку, що робить їх цінною частиною надійної стратегії кібербезпеки.
Пов'язані посилання
Для отримання додаткової інформації про Dyreza та способи захисту від нього ви можете відвідати такі ресурси:
