Agora, um grupo de pesquisadores da Seculert descobriu novas mudanças que tornam Dyre uma praga ainda mais difícil de detectar e analisar. Isso tudo porque esta versão do malware Dyre é capaz de escapar de análises por soluções de sandboxing. Devido ao fato de muitas sandboxing serem configuradas com apenas um processador com um núcleo, como uma forma de poupar recursos, a verificação realizada por Dyre é uma maneira boa e eficaz para evitar que ele esteja sendo analisado. Por outro lado, a maioria das máquinas (computadores) em utilização nos dias de hoje, possui mais de um núcleo. Essa alteração permite que o malware consiga ignorar um número de sandboxes que estejam acessíveis ao público. Dessa forma, os desenvolvedores foram imediatamente notificados sobre isso. Em junho de 2014, no ínicio mesmo do mês, essa amostra de malware financeiro que até então era uma novidade dentre as pragas cibernéticas voltadas para a área em questão (roubo financeiro), surgiu e logo mostrou sua capacidade de contornar o protocolo de segurança SSL (Secure Sockets Layer). Os alvos do malware bancário eram principais sites de bancos online, como: Bank of America, Natwest, Citibank, RBS, Ulsterbank, dentre outras instituições importantes. O comportamento desse malware é muito semelhante à família de trojan bancário Zeus, além de ser capaz de se esconder em navegadores populares como o Internet Explorer, Chrome e Firefox, de onde ele pode recuperar os dados sensíveis a cada vez que um usuário conecta-se aos domínios especificados.
Esforços para Tornar Dyre mais Resistente e Suportar Técnicas de Engenharia Reversa
No entanto, os pesquisadores de segurança mencionaram Dyre/Dyreza como sendo um novo trojan bancário, não ligado à família Zeus, e os crackers haviam se esforçado bastante para torná-lo tão resistente quanto possível para suportar as técnicas de engenharia reversa e evitar a detecção antivírus. No início de junho, foram rastreados vários servidores ligados ao trojan a partir de Riga, região da Letônia. Em fevereiro deste ano, o setor de TI revelou que Dyreza agora também tem como alvo algumas páginas de login bitcoin. Dentre as páginas, constaram: bitbargain.co.uk, bitpay.com, localbitcoins.com e www.bitstamp.net. Nas últimas campanhas de malware que ocorreram em outubro, os e-mails de spam continham vários anexos maliciosos, tais como um documento PPT, um arquivo ZIP ou um arquivo em PDF que liberava malware. Os temas dos e-mails vêm como: "Unpaid invoic", "New bank details", "Invoice #[7 random numbers]". Na sequência do recebimento do e-mail malicioso, a vítima alvo é instruída a baixar, preencher e imprimir o arquivo anexado. Assim que o arquivo é executado, o arquivo malicioso tenta explorar uma vulnerabilidade do Windows : CVE-2014-4114, também conhecida como "Windows OLE Remote Code Execution Vulnerability" ou vulnerabilidades encontradas em versões não corrigidas de Adobe Reader.
A vulnerabilidade poderia também permitir que houvesse a execução remota de código se a vítima abrisse o arquivo especialmente projetado para esta finalidade nefasta. Um invasor que explorar com êxito essa vulnerabilidade ganha direitos totais de usuário como o usuário, ou seja, ganha privilégios no acesso. Quando isso acontece, torna-se possível para o atacante fazer grandes mudanças para o sistema Windows afetado. Além disso, quando se tem uma máquina infectada, Dyreza aparece como um serviço de Atualização do Google que começa toda vez que a máquina é iniciada.
Processo de Disseminação de Dyre/Dyreza
Como muita gente sabe, Dyreza é entregue através de campanhas de spam e phishing. Os e-mails contêm vários anexos maliciosos, tais como um ZIP, PPT ou PDF, que assim que for aberto, vai liberar um malware na máquina de destino. O malware então se conecta a um servidor controlado crackers para enviar/receber informações. Nesse contexto, é possível encontrarmos assuntos de e-mail como "Seu ID de pagamento de imposto FED [número aleatório]" e "RE:Fatura [número aleatório]" em mais e-mails enviados. Os arquivos .zip têm nomes, como "Documents.zip","document-[números aleatórios].zip" ou "eFax - [números aleatórios].zip", que a partir do momento em que for descompactado e executado irá instalar o sistema, o downloader. Além do mais, os e-mails contêm um link curto para um servidor comprometido, onde um arquivo malicioso está hospedado.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3031