Title Image

Phishing collegato a Dyre Malware Banking

Home  /  Security News   /  Phishing collegato a Dyre Malware Banking
Phishing-collegato-a-Dyre-Malware-Banking

Sistema Interessato: Windows

Da metà ottobre 2014, una campagna di phishing ha preso di mira una vasta gamma di utenti utilizzando il malware bancario Dyre / Dyreza.
Le caratteristiche di  questa campagna phishing variano da bersaglio a bersaglio inclusi mittenti, allegati, exploit, temi e payload (s). Anche se questa campagna utilizza varie tattiche, l’ intento dell’attore è quello di invogliare i destinatari ad aprire gli allegati scaricando così il malware. 

Descrizione

Dyre-Malware-BankingIl malware ha la capacità di catturare le informazioni di login utente e inviare tutti i dati acquisiti agli hackers.
le emails di phishing di questa campagna spesso contengono un allegato PDF, il quale tenta di sfruttare le vulnerabilità presenti nelle versioni senza patch di Adobe Reader, e successivamente scarica il malware bancario Dyre.
Tutti i principali fornitori di anti-virus hanno rilevato con successo questo malware prima del rilascio di questo avviso.

Caratteristiche mail della campagna “Phishing collegato a Dyre Malware Banking”:

  • Oggetto: “Unpaid invoic” – errori di ortografia nella riga dell’oggetto sono una caratteristica di questa campagna
  • allegato: Invoice621785.pdf

System Level Indicators (con successo)

  • – Si copia in C: Windows [RandomName] .exe
  •  – Creato un servizio denominato “Servizio di Aggiornamento Google” imposta le seguenti chiavi di registro:
    _   HKLM SYSTEM CurrentControlSet Services GoogleUpdate ImagePath: “C: WINDOWS pfdOSwYjERDHrdV.exe”
    _   HKLM SYSTEM CurrentControlSet Services GoogleUpdate DisplayName: “Update Service Google”

Impatto
Un sistema infettato dal malware Dyre fornisce le credenziali d’accesso dell’utente, incluse le credenziali bancarie

Per informazioni, approfondimenti e supporto, contatta i nostri tecnici