Dyre金融木馬大約在一年前出現(xiàn)，目前已成為最有效的金融欺詐工具之一。犯罪分子利用Dyre對全球1000多家銀行和其他公司的客戶進行欺詐。在英語國家，尤其是美國和英國的客戶面臨最大的風險，這是因為被鎖定為攻擊目標的銀行大部分位于這些國家。

在Gameover Zeus、Shylock和Ramnit等幾個重大金融威脅相繼被打擊后，由這些組織所造成的威脅已經(jīng)削弱，但Dyre現(xiàn)在已經(jīng)取而代之，成為普通客戶所面臨的主要威脅之一。

賽門鐵克公司檢測發(fā)現(xiàn)，Dyre的文件名為Infostealer.Dyre，以Windows計算機為攻擊目標，并且能夠通過攻擊三款主流Web瀏覽器（Internet Explorer、Chrome和Firefox）竊取銀行憑證和其他憑證。

此外，Dyre將構(gòu)成雙重威脅。除竊取憑證外，它還能夠向受害者傳染其他類型的惡意軟件，例如將用戶添加至垃圾郵件僵尸網(wǎng)絡。

一年內(nèi)的增長

根據(jù)賽門鐵克安全響應團隊發(fā)布的技術(shù)白皮書顯示，感染Dyre的用戶從一年前開始激增。這款惡意軟件背后的攻擊者不斷提高攻擊性能，并持續(xù)構(gòu)建支持其發(fā)展的基礎設施。

圖1.在一年內(nèi)針對Dyre的檢測

排名	國家	檢測活動量
1	美國	53919
2	英國	15789
3	日本	11411
4	加拿大	7200
5	澳大利亞	2914
6	印度	2817
7	法國	2137
8	新加坡	1521
9	香港	1515
10	土耳其	1408
11	德國	1253
12	中國	1236
13	愛爾蘭	1214
14	瑞士	1210
15	馬來西亞	1047

圖2.在一年內(nèi)針對Dyre的檢測（根據(jù)國家）

由于攻擊者的目標不僅僅是為了竊取金融機構(gòu)的信息，還抱有其他惡意目的，賽門鐵克所檢測到的活動數(shù)量并不能確認為實際的感染數(shù)量。賽門鐵克發(fā)現(xiàn)，一些國家擁有很高的活動數(shù)量，但實際受到攻擊的銀行數(shù)量并不高。在過去一年中，賽門鐵克檢測到中國大約有1,236次活動，并未列入前十大受威脅嚴重的國家，僅有2家銀行成為攻擊目標。

感染傳播途徑

Dyre主要通過垃圾郵件傳播。在大多數(shù)情況下，惡意電子郵件偽裝成商務文件、語音郵件或傳真消息。當受害者點擊電子郵件附件，就會被重新定向到一個惡意網(wǎng)站，該網(wǎng)站將在受害者的電腦上安裝Upatre下載器（經(jīng)賽門鐵克檢測為Downloader.Upatre）。

Upatre是金融欺詐組織最常用的偵測工具之一，此前Gameover Zeus和Cryptolocker組織都曾使用過該工具。它在受害者的計算機中充當橋頭堡，收集相關(guān)信息以及試圖禁用安全軟件，最后下載并安裝Dyre木馬。

憑證竊取

Dyre能夠使用幾種不同類型的瀏覽器中間人（MITB）攻擊受害者的Web瀏覽器，從而竊取憑證。其中的一種MITB 攻擊會將受害者瀏覽過的每一個網(wǎng)頁進行掃描，并對照Dyre預先配置的攻擊網(wǎng)站清單進行核查。如果找到匹配結(jié)果，該MITB就會將受害者重新定向到與真正網(wǎng)站外觀相似的虛假網(wǎng)站。該虛假網(wǎng)站將收集受害者的憑證，然后將其重新定向回原網(wǎng)站。

第二種 MITB攻擊可以通過添加惡意代碼讓Dyre篡改合法站點在瀏覽器窗口中的顯示方式，進而竊取受害者的登錄憑證。在某些情況下，Dyre還可能會顯示一個附加的虛假頁面，通知受害者其電腦無法被識別，并需要提供其他憑證來驗證用戶身份，例如生日、PIN 碼和信用卡詳細信息。

為其他威脅打開大門

Dyre還會向受害者傳染其他惡意軟件。迄今為止，賽門鐵克已經(jīng)發(fā)現(xiàn)7種來自Dyre推送的其他惡意軟件，以用于感染計算機。在多種情況下，受害者會被添加至僵尸網(wǎng)絡，以用于支持后續(xù)的垃圾郵件活動，并感染更多的受害者。

操控Dyre 的攻擊者

根據(jù)Dyre攻擊者的最活躍的活動時間，賽門鐵克認為該組織可能位于東歐或俄羅斯。許多組織的命令控制（C&C）基礎設施位于這些地區(qū)，并且這些國家的感染數(shù)量相對較少。這些攻擊組織或許希望通過避免攻擊離自己較近的目標來保持自身低調(diào)。