网络犯罪分子和威胁幕后黑手经常会利用测试过的漏洞来感染用户系统,也借此去渗透企业网络。这凸显出修补系统和将软件及应用程序保持在最新状态的重要性。
趋势科技最近发现DYREZA恶意软件利用了旧的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻击此漏洞,就可以在受影响系统上执行任意程序代码。
(垃圾邮件截图)
DYREZA恶意软件使用伪装成收据通知的垃圾邮件作为感染媒介。它夹带着恶意PDF档案(被趋势科技侦测为TROJ_PIDIEF.YYJU)。一旦执行,它会攻击CVE-2013-2729漏洞,进而去下载TSPY_DYRE.EKW,一个DYREZA变种(也被称为DYRE和DYRANGES)。
DYREZA是个以窃取银行认证信息闻名的恶意软件,而且和包裹骡子诈骗有关。此恶意软件有能力通过浏览器注入来进行中间人(MITM)攻击,监视目标银行的网络银行联机和窃取其他信息,如浏览器版本、截图和个人认证信息。
用户和企业都有危险,因为DYREZA可以通过浏览器截图来取得其他类型的数据,像是个人标识信息(PII)和认证信息。此外,还有报告指出CUTWAIL僵尸网络会导致下载UPATRE和DYRE恶意软件。
让TSPY_DYRE.EKW值得注意的是其注入恶意代码到特定银行和比特币登录页面来窃取重要信息的能力。它所监视的一些比特币网页:co.uk/*;co.uk/login*;com/*;com/merchant-login*;com/*;com/accounts/login*;bitstamp.net/*;bitstamp.net/account/login*。
除了数据窃取的行为外,TSPY_DYRE.EKW可以连到某些恶意网站来收发信息。此外,它可以连到特定STUN(NAT会话传输应用程序)服务器来确认其感染计算机的公开IP地址。因此,网络犯罪分子可以找出恶意软件的位置或判断受影响用户和组织的位置。出现最多受害者的国家包括了爱尔兰、美国、加拿大、英国和荷兰。
比特币是一种具有真实世界价值的数字货币。网络犯罪分子常常会将目标放在比特币上,因为它提供了一个可以产生利润的新场所。虽然这并不是第一次诈骗分子及网络犯罪分子将目标放在比特币上,这个新攻击凸显出传统威胁(如漏洞和银行恶意软件)仍然是网络犯罪分子窃取用户认证信息和攻击较新平台(比特币)的常用手段。它也教了我们关于保持系统和软件应用程序更新到最新版本的重要一课。
趋势科技通过主动式云端截毒服务来保护用户对抗此威胁,它会侦测垃圾邮件和所有相关恶意软件,全天候对抗来自云端(网络)的各种病毒威胁,经由简化用户复杂的操作程序及节省经费,落实智能型安全防护。