Το Dyre Trojan περιλαμβάνει ανώνυμη επικοινωνία μέσω του I2P δικτύου

Μια πρόσφατη έκδοση του Dyre τραπεζικού Trojan, που διαδίδεται μέσω phishing, υλοποιεί την επικοινωνία μέσω του ανώνυμου δικτύου I2P.

Οι ερευνητές έχουν προσπαθήσει να αλληλεπιδράσουν με τον κόμβο I2P που βρέθηκε στο κακόβουλο λογισμικό, αλλά δεν τα κατάφεραν.

Phishing μήνυμα κατευθύνει σε malware dropper

Η “φωνητική ειδοποίηση” επί του παρόντος χρησιμοποιείται σε μηνύματα ηλεκτρονικού ταχυδρομείου για να εξαπατήσει τους ανυποψίαστους χρήστες ώστε κατεβάσουν ένα malware dropper, το οποίο κατευθύνει στο Dyre τραπεζικό Trojan.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου κυκλοφορούν με διαφορετικά, γεγονός το οποίο υποδηλώνει ότι οι κυβερνοεγκληματίες έχουν αυτοματοποιήσει τη διαδικασία αποστολής των emails και έχουν ενσωματώσει μηχανισμό για να αποφύγουν τον εντοπισμό.

Τα ηλεκτρονικά μηνύματα προσφέρουν ένα σύνδεσμο που ισχυρίζεται ότι οδηγεί το θύμα σε ηχογραφημένο μήνυμα, αλλά αντ ‘αυτού περιέχει ένα αρχείο ZIP, το οποίο φέρει το Upatre malware dropper. Εφόσον εκτελεστεί, ο dropper προσθέτει το Dyre, επίσης γνωστό ως Dyreza.

Ο Ronnie Tokazowski από τη PhishMe αναφέρει ότι ο κώδικας στη σελίδα λήψης του Trojan περιέχει έναν μετρητή για τον αριθμό των επισκέψεων. Ο ερευνητής αναφέρει ότι, κατά τη στιγμή της ανάλυσης, η σελίδα είχε καταγράψει περίπου 10.000 επισκέπτες.

Βέβαια η καταγραφή δεν αφορά μοναδικές απισκέψεις, προσθέτει ο Tokazowski, καθώς η μέτρηση αυξάνεται σε κάθε ανανέωση της σελίδας. Ως εκ τούτου, ο αριθμός των χρηστών που πράγματι έλαβαν το κακόβουλο λογισμικό είναι πολύ πιθανό να είναι χαμηλότερος. Επιπλέον, μερικοί από αυτούς μπορεί να αντιλήφθηκαν ότι πρόκειται για επίθεση και να μην εκτέλεσαν το αρχείο.
Ανακαλύφθηκε I2P διεύθυνση κατά τη διάρκεια της ανάλυσης του malware

Ωστόσο, στην περίπτωση που το Dyre έχει εγκατασταθεί στο σύστημα, θα ενσωμετωθεί στο svchost.exe. Μια ενδιαφέρουσα διαπίστωση στην οποία προέβη ο Tokazowski είναι η προσθήκη μιας διεύθυνσης I2P, η οποία είναι μια υπηρεσία που προσφέρει ένα network layer για ανώνυμη επικοινωνία.

Επιπλέον, κρυπτογραφείται όλο το traffic από άκρο σε άκρο και υπάρχουν τέσσερα στρώματα κρυπτογράφησης κατά την αποστολή μηνυμάτων. Ως εκ τούτου, πιστεύεται ότι η υπηρεσία I2P χρησιμοποιείται ώστε να κάνει την ανίχνευση και την ανάλυση του κακόβουλου λογιμικού, ακόμα πιο δύσκολη.

Τα τραπεζικά Trojan χρησιμοποιούν πολλαπλές μεθόδους διανομής

Το Dyre εντοπίστηκε στα μέσα Ιουνίου και παρατηρήθηκε ότι στηρίζεται σε πολλαπλά κανάλια διανομής.

Το πιο δημοφιλές του είδους παραμένει το Upatre, που προσεγγίζει συνήθως το θύμα μέσω επιθέσεων phishing, όπου μία από τις τελευταίες πραγματοποιήθηκε μέσω e-mail με θέμα “Τυραννία της Αστυνομίας”, σχετικά με τα επεισόδια στο Φέργκιουσον.

Ο σκοπός του Dyre είναι καθαρά το οικονομικό κέρδος, καθώς παρεμβάλλεται μεταξύ του πελάτη και της τράπεζας, προκειμένου να υποκλέψει ευαίσθητα δεδομένα χωρίς τη γνώση του κάθε συμβαλλόμενου. Από τότε που πρωτοεμφανίστηκε, το κακόβουλο λογισμικό έχει αναβαθμιστεί με ένα εκτεταμένο κατάλογο των στόχων, ο οποίος περιελάμβανε επίσης και Bitcoin εμπορικές ιστοσελίδες.