El ascenso del troyano bancario Dyre a la cima de la cadena alimentaria de malware financiero dio un enorme salto en los tres primeros meses del 2015. Se encuentra difundiendo piezas de malware dañino que se dirige a las cuentas bancarias de empresas, los dueños del malware en Europa del Este recientemente subieron su juego un nivel en ingeniería social, agregando de una llamada de tipo centro de operación (callcenter) que roba contraseñas y códigos PIN de autenticación de dos factores con el fin de vulnerar los sistemas de detección de fraude.
Los investigadores de IBM el jueves dieron a conocer esta nueva faceta de Dyre, y dijeron que han visto fraudulentas transferencias de mucho dinero como resultado de los recientes cambios del programa viral en la suma de más de $ 1 millón USD en pérdidas.
"Hicieron un gran cambio en la filosofía y la técnica en el primer trimestre", dijo John Kuhn investigador de amenazas mayores de IBM Managed Security Services.
No sólo es notable la ingeniería social avanzada, pero en cuestión de segundos de mover el dinero de una cuenta de alto valor, los investigadores de IBM dicen que la pandilla Dyre deduce que con un ataque DDoS contra el banco u organización específica desvian la atención y los recursos lejos del robo. Las tasas de infección han subido desde unos pocos cientos a finales del año pasado para llegar a los miles, dijo Kuhn.
"Es nuevo y muy descarado tener un centro de llamadas para robar contraseñas de la gente por ingenieria social", dijo Kuhn, quien agregó que las víctimas en Estados Unidos han dicho a IBM que los estafadores hablan perfecto Inglés y no hay un aviso de que la llamada podría ser fraudulenta.
El ataque DDoS, por su parte, sólo se utiliza contra objetivos selectos en que intervengan las transferencias grandes de dinero.
"Para ganar algo de tiempo para mover el dinero, lanzan un gran ataque DDoS contra la organización", dijo Kuhn. "Quieren desviar recursos [del fraude], o forzar el agotamiento de los recursos para que las víctimas no pueden iniciar sesión de nuevo en el banco".
Dyre ha estado en circulación durante cerca de un año y ya ha causado problemas en una serie de ámbitos más allá del robo de datos bancarios. Los hackers han utilizado también credenciales Salesforce.com y también fue visto explotar la misma vulnerabilidad de Windows utilizado en un ataque APT realizado por el grupo Sandworm, que se utiliza para distribuir malware Black Energy contra infraestructura crítica.
Las infecciones de Dyre no son muy diferentes de otros tipos de malware bancario, como Zeus y Citadel. Una campaña de spear phishing dirigida a un individuo o grupo dentro de una organización con un archivo adjunto malicioso o enlace. Si el objetivo cae por el mensaje phishing y ejecuta el ataque, la primera etapa de la infección ejecuta el Upatre Dropper, el cual abre una conexión de puerta trasera (backdoor) a la máquina del atacante y descarga el troyano Dyre. En caso de que la víctima tenga acceso a su cuenta de banco - Dyre viene pre-cargado con inyecciones web para cientos de bancos y presentan a la víctima un mensaje de que hay un problema con la cuenta y deben marcar a un numero 1800.
Los atacantes utilizan tácticas de ingeniería social para convencer a los usuarios de revelar información que ayudará a los delincuentes a eludir medidas de protección del banco. Si tienen éxito, los hackers luego realizan transferencias electrónicas a cuentas en el extranjero, y si el destino es lo suficientemente valioso, se lanza el ataque DDoS a la víctima.
Con millones ya robados de cuentas corporativas, la banda Dyre tiene la intención de mantener la viabilidad de sus operaciones, dijo IBM.
"Hacemos un seguimiento de muestras Upatre, 10-20 o más al día y los atacantes estan reescribiendolo constantemente para evitar la detección", dijo Kuhn. "Tienen un super equipo de ingenieros, reprogramando cosas. Es importante hacerlo al fin de lograr mantener Upatre colandose a través de las defensas perimetrales ".
Kuhn dijo que IBM ha visto varias revisiones de código desde el inicio del año.
Datos de IBM muestran0 que Dyre es el malware bancario más prolífico en circulación, por delante de Neverquest, Bugat, Zeus y un par de troyanos brasileños. Las tasas de infección globales siguen aumentando con la mayor parte de las víctimas en América del Norte, aproximadamente el doble que en Europa.
"La llamada telefónica y el ataque DDoS producen cambios significativos", dijo Kuhn. "Yo no sé de otra campaña o un troyano que se dirija a las empresas y no a individuos. Van tras mucho dinero y tienen éxito haciéndolo ".
Los investigadores de IBM el jueves dieron a conocer esta nueva faceta de Dyre, y dijeron que han visto fraudulentas transferencias de mucho dinero como resultado de los recientes cambios del programa viral en la suma de más de $ 1 millón USD en pérdidas.
 |
| Cortesia: ThreatPost |
No sólo es notable la ingeniería social avanzada, pero en cuestión de segundos de mover el dinero de una cuenta de alto valor, los investigadores de IBM dicen que la pandilla Dyre deduce que con un ataque DDoS contra el banco u organización específica desvian la atención y los recursos lejos del robo. Las tasas de infección han subido desde unos pocos cientos a finales del año pasado para llegar a los miles, dijo Kuhn.
"Es nuevo y muy descarado tener un centro de llamadas para robar contraseñas de la gente por ingenieria social", dijo Kuhn, quien agregó que las víctimas en Estados Unidos han dicho a IBM que los estafadores hablan perfecto Inglés y no hay un aviso de que la llamada podría ser fraudulenta.
El ataque DDoS, por su parte, sólo se utiliza contra objetivos selectos en que intervengan las transferencias grandes de dinero.
"Para ganar algo de tiempo para mover el dinero, lanzan un gran ataque DDoS contra la organización", dijo Kuhn. "Quieren desviar recursos [del fraude], o forzar el agotamiento de los recursos para que las víctimas no pueden iniciar sesión de nuevo en el banco".
Dyre ha estado en circulación durante cerca de un año y ya ha causado problemas en una serie de ámbitos más allá del robo de datos bancarios. Los hackers han utilizado también credenciales Salesforce.com y también fue visto explotar la misma vulnerabilidad de Windows utilizado en un ataque APT realizado por el grupo Sandworm, que se utiliza para distribuir malware Black Energy contra infraestructura crítica.
Las infecciones de Dyre no son muy diferentes de otros tipos de malware bancario, como Zeus y Citadel. Una campaña de spear phishing dirigida a un individuo o grupo dentro de una organización con un archivo adjunto malicioso o enlace. Si el objetivo cae por el mensaje phishing y ejecuta el ataque, la primera etapa de la infección ejecuta el Upatre Dropper, el cual abre una conexión de puerta trasera (backdoor) a la máquina del atacante y descarga el troyano Dyre. En caso de que la víctima tenga acceso a su cuenta de banco - Dyre viene pre-cargado con inyecciones web para cientos de bancos y presentan a la víctima un mensaje de que hay un problema con la cuenta y deben marcar a un numero 1800.
Los atacantes utilizan tácticas de ingeniería social para convencer a los usuarios de revelar información que ayudará a los delincuentes a eludir medidas de protección del banco. Si tienen éxito, los hackers luego realizan transferencias electrónicas a cuentas en el extranjero, y si el destino es lo suficientemente valioso, se lanza el ataque DDoS a la víctima.
Con millones ya robados de cuentas corporativas, la banda Dyre tiene la intención de mantener la viabilidad de sus operaciones, dijo IBM.
"Hacemos un seguimiento de muestras Upatre, 10-20 o más al día y los atacantes estan reescribiendolo constantemente para evitar la detección", dijo Kuhn. "Tienen un super equipo de ingenieros, reprogramando cosas. Es importante hacerlo al fin de lograr mantener Upatre colandose a través de las defensas perimetrales ".
Kuhn dijo que IBM ha visto varias revisiones de código desde el inicio del año.
"Código reescrito completamente en algunos casos", dijo Kuhn. "Nosotros hemos hecho ingenieria inversa al código y a veces no se ve para nada igual. Están constantemente cambiando de nombres, el hash, la forma en que está comprimido, incluso cambian el icono en el archivo adjunto. Las víctimas están recibiendo un ejecutable .scr, pero el icono los engaña haciéndoles creer que es un archivo PDF ".
Datos de IBM muestran0 que Dyre es el malware bancario más prolífico en circulación, por delante de Neverquest, Bugat, Zeus y un par de troyanos brasileños. Las tasas de infección globales siguen aumentando con la mayor parte de las víctimas en América del Norte, aproximadamente el doble que en Europa.
"La llamada telefónica y el ataque DDoS producen cambios significativos", dijo Kuhn. "Yo no sé de otra campaña o un troyano que se dirija a las empresas y no a individuos. Van tras mucho dinero y tienen éxito haciéndolo ".
