Специалисты компании Trend Micro обнаружили новую модификацию банковского трояна, известного как Dyre (Dyreza). Новый вредонос атакует большее количество банковских web-сайтов и использует новые методы распространения и обхода защиты.
В течение последних нескольких месяцев злоумышленники применяли ботнет Cutwail для распространения Dyre, однако новая вариация прибегает к более интересной технике.
Атака происходит следующим образом: на ПК жертвы отправляется спам-сообщение, содержащее загрузчик Upatre, замаскированный под факс с деталями комплекта поставки. После исполнения Upatre загружает новую модификацию трояна Dyre, которая в свою очередь загружает компьютерного червя, идентифицированного специалистами как WORM_MAILSPAM.XDP. Затем червь использует почтовый клиент Microsoft Outlook, установленный на скомпрометированных устройствах, для рассылки спам-сообщений, к которым прикреплен загрузчик Upatre.
Что интересно, червь отправляет спам-сообщения не контактам жертвы, а на адреса почтовой почты, полученные с C&C–сервера злоумышленников. По окончании отправки писем червь самоудаляется.
Изначально Dyre был разработан для атаки 206 web-сайтов, однако новая версия таргетирует 355 ресурсов. В числе недавно добавленных фигурируют сайты, принадлежащие банкам и online-кошелькам Bitcoin.
В январе этого года наибольшее число случаев инфицирования трояном Dyre было зафиксировано в США (68%), немного меньше в Канаде (10%) и Чили (4%).
