Dyreza, còn được gọi là Dyre, là một loại phần mềm độc hại khét tiếng, cụ thể là Trojan ngân hàng, nhắm mục tiêu vào các giao dịch ngân hàng trực tuyến để đánh cắp thông tin tài chính nhạy cảm. Sự tinh tế của Dyreza nằm ở khả năng vượt qua mã hóa SSL, cấp cho nó quyền truy cập vào dữ liệu nhạy cảm ở dạng văn bản gốc.
Nguồn gốc và sự nhắc đến đầu tiên của Dyreza
Trojan ngân hàng Dyreza lần đầu tiên được phát hiện vào năm 2014 khi nó được phát hiện bởi các nhà nghiên cứu tại PhishMe, một công ty an ninh mạng. Nó được xác định trong một chiến dịch lừa đảo tinh vi nhắm mục tiêu vào những nạn nhân không nghi ngờ bằng 'báo cáo chuyển khoản ngân hàng' có đính kèm phần mềm độc hại trong tệp ZIP. Tên “Dyreza” có nguồn gốc từ chuỗi “dyre” được tìm thấy trong tệp nhị phân của Trojan và “za” là từ viết tắt của “Zeus thay thế”, ám chỉ những điểm tương đồng của nó với Trojan Zeus khét tiếng.
Xây dựng trên Dyreza
Dyreza được thiết kế để thu thập thông tin xác thực và thông tin nhạy cảm khác từ các hệ thống bị nhiễm, đặc biệt nhắm mục tiêu vào các trang web ngân hàng. Nó sử dụng một kỹ thuật được gọi là “nối trình duyệt” để chặn và thao túng lưu lượng truy cập web. Trojan này khác với các Trojan ngân hàng khác do khả năng vượt qua mã hóa SSL (Lớp cổng bảo mật), cho phép nó đọc và thao túng lưu lượng truy cập web được mã hóa.
Phương thức phân phối chính của Dyreza là các email lừa đảo lừa nạn nhân tải xuống và chạy Trojan, thường được ngụy trang dưới dạng một tài liệu hoặc tệp zip vô hại. Sau khi cài đặt, Dyreza đợi cho đến khi người dùng điều hướng đến trang web quan tâm (thường là trang web ngân hàng), lúc này nó sẽ kích hoạt và bắt đầu thu thập dữ liệu.
Cấu trúc bên trong và hoạt động của Dyreza
Sau khi được cài đặt trên máy của nạn nhân, Dyreza sử dụng cuộc tấn công 'man-in-the-browser' để giám sát lưu lượng truy cập web. Điều này cho phép phần mềm độc hại chèn các trường bổ sung vào biểu mẫu web, lừa người dùng cung cấp thông tin bổ sung như số PIN và TAN. Dyreza cũng sử dụng một kỹ thuật gọi là “webinjects” để thay đổi nội dung của trang web, thường thêm các trường vào biểu mẫu để thu thập thêm dữ liệu.
Việc vượt qua SSL của Dyreza đạt được bằng cách nối vào quy trình trình duyệt và chặn lưu lượng truy cập trước khi nó được mã hóa bằng SSL hoặc sau khi nó được giải mã. Điều này cho phép Dyreza thu thập dữ liệu ở dạng văn bản gốc, bỏ qua hoàn toàn các biện pháp bảo vệ do SSL cung cấp.
Tính năng chính của Dyreza
- Bỏ qua mã hóa SSL: Dyreza có thể chặn lưu lượng truy cập web trước khi được mã hóa hoặc sau khi được giải mã, thu thập dữ liệu ở dạng văn bản thuần túy.
- Tấn công người trong trình duyệt: Bằng cách theo dõi lưu lượng truy cập web, Dyreza có thể thao túng các biểu mẫu web để lừa người dùng cung cấp thêm thông tin nhạy cảm.
- Webinjects: Tính năng này cho phép Dyreza thay đổi nội dung của trang web để thu thập thêm dữ liệu.
- Phương pháp tiếp cận đa vectơ: Dyreza sử dụng nhiều phương pháp khác nhau, bao gồm email lừa đảo và bộ công cụ khai thác, để xâm nhập vào hệ thống.
Các loại Dyreza
Mặc dù không có các loại Dyreza riêng biệt nhưng đã có nhiều phiên bản khác nhau được quan sát thấy trong tự nhiên. Các phiên bản này khác nhau về vectơ tấn công, mục tiêu và kỹ thuật cụ thể, nhưng chúng đều có chung chức năng cốt lõi. Những biến thể này thường được gọi là các chiến dịch khác nhau chứ không phải là các loại khác nhau.
Sử dụng, vấn đề và giải pháp liên quan đến Dyreza
Dyreza gây ra mối đe dọa đáng kể cho cả người dùng cá nhân và tổ chức do khả năng đánh cắp thông tin ngân hàng nhạy cảm. Cách chính để giảm thiểu rủi ro của Dyreza và các Trojan tương tự là thông qua các biện pháp an ninh mạng mạnh mẽ. Chúng bao gồm việc duy trì phần mềm chống vi-rút cập nhật, giáo dục người dùng về sự nguy hiểm của lừa đảo và sử dụng hệ thống phát hiện xâm nhập.
Nếu nghi ngờ nhiễm Dyreza, điều quan trọng là phải ngắt kết nối máy bị nhiễm khỏi mạng để tránh mất thêm dữ liệu và làm sạch hệ thống bằng công cụ chống vi-rút đáng tin cậy. Đối với các tổ chức, có thể cần phải thông báo cho khách hàng và thay đổi toàn bộ mật khẩu ngân hàng trực tuyến.
So sánh với phần mềm độc hại tương tự
Dyreza có nhiều đặc điểm giống với các Trojan ngân hàng khác, chẳng hạn như Zeus và Bebloh. Tất cả chúng đều sử dụng các cuộc tấn công man-in-the-browser, sử dụng webinjects để thay đổi nội dung web và chủ yếu được phân phối thông qua các chiến dịch lừa đảo. Tuy nhiên, Dyreza nổi bật với khả năng vượt qua mã hóa SSL, đây không phải là tính năng phổ biến của các Trojan ngân hàng.
| Phần mềm độc hại | Người trong trình duyệt | Webinject | Bỏ qua SSL |
|---|---|---|---|
| Dyreza | Đúng | Đúng | Đúng |
| thần Zeus | Đúng | Đúng | KHÔNG |
| Bebloh | Đúng | Đúng | KHÔNG |
Quan điểm tương lai và công nghệ liên quan đến Dyreza
Mối đe dọa từ các Trojan ngân hàng như Dyreza tiếp tục gia tăng khi tội phạm mạng ngày càng tinh vi hơn. Công nghệ an ninh mạng trong tương lai có thể sẽ tập trung vào việc cải thiện khả năng phát hiện sớm các mối đe dọa này và tinh chỉnh các kỹ thuật để xác định email lừa đảo và các vectơ tấn công khác.
Học máy và AI đang được sử dụng ngày càng nhiều trong an ninh mạng nhờ khả năng xác định các mô hình và điểm bất thường có thể chỉ ra mối đe dọa. Những công nghệ này có thể tỏ ra quan trọng trong việc chống lại sự phát triển của các mối đe dọa như Dyreza trong tương lai.
Hiệp hội máy chủ proxy với Dyreza
Máy chủ proxy thường được phần mềm độc hại như Dyreza sử dụng để ẩn thông tin liên lạc của chúng với máy chủ ra lệnh và kiểm soát. Bằng cách định tuyến lưu lượng truy cập qua nhiều proxy, tội phạm mạng có thể ẩn vị trí của chúng và khiến lưu lượng truy cập của chúng khó bị theo dõi hơn.
Mặt khác, máy chủ proxy cũng có thể là một phần của giải pháp. Ví dụ: chúng có thể được định cấu hình để chặn các địa chỉ IP độc hại đã biết hoặc để phát hiện và chặn các mẫu lưu lượng truy cập đáng ngờ, khiến chúng trở thành một phần có giá trị trong chiến lược an ninh mạng mạnh mẽ.
Liên kết liên quan
Để biết thêm thông tin về Dyreza và cách bảo vệ khỏi nó, bạn có thể truy cập các tài nguyên sau:
