Sistema Interessato: Windows
Da metà ottobre 2014, una campagna di phishing ha preso di mira una vasta gamma di utenti utilizzando il malware bancario Dyre / Dyreza.
Le caratteristiche di questa campagna phishing variano da bersaglio a bersaglio inclusi mittenti, allegati, exploit, temi e payload (s). Anche se questa campagna utilizza varie tattiche, l’ intento dell’attore è quello di invogliare i destinatari ad aprire gli allegati scaricando così il malware.
Descrizione
Il malware ha la capacità di catturare le informazioni di login utente e inviare tutti i dati acquisiti agli hackers.
le emails di phishing di questa campagna spesso contengono un allegato PDF, il quale tenta di sfruttare le vulnerabilità presenti nelle versioni senza patch di Adobe Reader, e successivamente scarica il malware bancario Dyre.
Tutti i principali fornitori di anti-virus hanno rilevato con successo questo malware prima del rilascio di questo avviso.
Caratteristiche mail della campagna “Phishing collegato a Dyre Malware Banking”:
- Oggetto: “Unpaid invoic” – errori di ortografia nella riga dell’oggetto sono una caratteristica di questa campagna
- allegato: Invoice621785.pdf
System Level Indicators (con successo)
- – Si copia in C: Windows [RandomName] .exe
- – Creato un servizio denominato “Servizio di Aggiornamento Google” imposta le seguenti chiavi di registro:
_ HKLM SYSTEM CurrentControlSet Services GoogleUpdate ImagePath: “C: WINDOWS pfdOSwYjERDHrdV.exe”
_ HKLM SYSTEM CurrentControlSet Services GoogleUpdate DisplayName: “Update Service Google”
Impatto
Un sistema infettato dal malware Dyre fornisce le credenziali d’accesso dell’utente, incluse le credenziali bancarie
Per informazioni, approfondimenti e supporto, contatta i nostri tecnici