网路犯罪分子和威胁幕后黑手经常会利用测试过的漏洞来感染使用者系统,也借此去穿透企业网路。这凸显出修补系统和将软体及应用程式保持在最新状态的重要性。
趋势科技最近发现DYREZA恶意软体利用了旧的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻击此漏洞,就可以在受影响系统上执行任意程式码。
DYREZA恶意软件使用伪装成收据通知的垃圾邮件作为感染媒介。它夹带着恶意PDF档案(被趋势科技侦测为TROJ_PIDIEF.YYJU)。一旦执行,它会攻击CVE-2013-2729漏洞,进而去下载TSPY_DYRE.EKW,一个DYREZA变种(也被称为DYRE和DYRANGES)。
DYREZA是个以窃取银行认证信息闻名的恶意软件,而且和包裹骡子诈骗有关。我们最近写过一篇部落格文章详述了此恶意软件在威胁环境生态系中所扮演的角色和一些显著的行为,包括其有能力透过浏览器注入来进行中间人(MITM)攻击,监视目标银行的网络银行连线和窃取其他信息,如浏览器版本、截图和个人认证信息。
使用者和企业都有危险,因为DYREZA可以透过浏览器截图来取得其他类型的资料,象是个人识别信息(PII)和认证信息。此外,还有报告指出CUTWAIL殭尸网络会导致下载UPATRE和DYRE恶意软件。
让TSPY_DYRE.EKW值得注意的是其注入恶意程序码到特定银行和比特币登入页面来窃取重要信息的能力。它所监视的一些比特币网页:
co.uk/*
co.uk/login*
com/*
com/merchant-login*
com/*
com/accounts/login*
bitstamp.net/*
bitstamp.net/account/login*
除了资料窃取的行为外,TSPY_DYRE.EKW可以连到某些恶意网站来收发信息。此外,它可以连到特定STUN(NAT会话传输应用程序)伺服 器来确认其感染计算机的公开IP位址。因此,网络犯罪分子可以找出恶意软件的位置或判断受影响使用者和组织的位置。出现最多受害者的国家包括了爱尔兰、美 国、加拿大、英国和荷兰。
比特币是一种具有真实世界价值的数位货币。网络犯罪分子常常会将目标放在比特币上,因为它提供了一个可以产生利润的新场所。虽然这并不是第一次诈骗分子及网络犯罪分子将目标放在比特币上,这个新攻击凸显出传统威胁(如漏洞和银行恶意软件)仍然是网络犯罪分子窃取使用者认证信息和攻击较新平台(比特币)的常用手段。它也教了我们关于保持系统和软件应用程序更新到最新版本的重要一课。
转摘自:
国际VPN