مشتریان بانک‌های سوییس هدف تروجان Dyreza

محققان  پنج ماه پیش خبر از کشف  یک بدافزار بانکی داده بودند که قادر بود با هدایت ترافیک جلسه‌ کاری بانک به یک دامنه‌ ثبت‌شده توسط مهاجم، رمزنگاری SSL را دور بزند. این تروجان که با نام‌های Dyre یا Dyreza شناخته می‌شود، از روشی  موسوم به اتصال به مرورگر برای سرقت ترافیک در جریان بین قربانی و وب سایت  اصلی بهره می‌گیرد.

نسخه‌ جدید این تروجان بانکی با سوء‌استفاده از آسیب‌پذیری ویندوز که به ره‌گیری فعالیت‌های کمپین نفوذگران Sandworm دو هفته‌ی پیش کشف شد، سعی به آلوده کردن رایانه‌های قربانیان می‌کند.

به گزارش وب سایت اخبار امنیتی فن آوری اطلاعات و ارتباطات محققان دانمارکی، کمپین جدیدی از نفوذگران را کشف کرده‌اند که با استفاده از بدافزار Dyreza که می‌تواند از آسیب‌پذیریِ CVE-2014-4114 ویندوز سوء‌استفاده کند، مشتریان بانک‌های سوییس را مورد هدف قرار داده‌اند. این تروجان، عموماً از طریق حملات اسپرفیشینگ و یا هرزنامه منتقل می‌شود و ظاهراً طوری به نظر می‌رسد که یک صورت‌حساب بانکی یا اطلاع‌رسانی تراکنش بانکی است و در عین حال یک پیوست آلوده نیز به همراه دارد.

درکمپین جدید، یک پیوست پاورپونیت که از آسیب‌پذیری ویندوز سوء‌استفاده می‌کند، در ایمیل قرار دارد، این آسیب‌پذیری به عنوان آسیب‌پذیری OLE شناخته می‌شود و در به‌روزرسانی‌های ماه اکتبر مایکروسافت وصله شده است، اما قبل از آن به صورت روز-صفرم در کمپین Sandworm که علیه سازمان‌ها و مراکز دولتی اروپای شرقی فعالیت می‌کرد، مورد استفاده قرار گرفته بود.

تروجان بانکی Dyreza به محض نصب شدن در رایانه قربانی، با هر بار راه‌اندازی ماشین یک به‌روز‌رسانی جعلی گوگل را نمایش می‌دهد. در نسخه‌ی ویندوز ۷، بدافزار خود را به فرآیند مربوط به مرورگر اینترنت اکسپلورر تزریق می‌کند، البته در نسخه‌های قدیمی ویندوز از جمله ویندوز بدون پشتیبانی XP که آسیب‌پذیری CVE-2014-4114 در آن وجود دارد، بدافزار خود را به فرآیند svchost.exe تزریق می‌کند و به سرقت اطلاعات بانکی قربانی می‌پردازد.