Вредоносная программа нацелена на клиентов крупных банков, часть из которых работает и в России. Dyreza по своим характеристикам похож, но не идентичен печально известному Zeus. Антивирусные продукты NOD32 идентифицируют новый троян как Win32/Battdil.A.
Dyre используется преступниками для кражи авторизационных данных пользователя банковского приложения. Так, вирус атакует системы интернет-банкинга CitiGroup, NatWest, RBS, Bank of America, Ulster Bank, обходя SSL-шифрование, а также двухфакторную аутентификацию, предусмотренную этими системами.
Эксперты считают, что новый троян распространяется посредством схемы «преступление как услуга» (crime-as-a-service): мошенники продают вредоносную программу, настраивают ее и реализуют кибератаки.
Как выяснилось, жертвы нового трояна получали его по e-mail в письмах, предлагающих загрузить архив с информацией и счетами от налоговой с файлообменника Dropbox (впоследствии этот сервис удалил вредоносные ссылки, но преступники перешли на аналогичный – Cubby). Используя файлообменники, создатели вируса избегают сканирование URL-адреса.
Так, Dyreza внедряет в браузер вредоносный код и перехватывает секретные данные, когда пользователь открывает сайт системы интернет-банкинга. Вирус совместим с популярными браузерами Firefox, Internet Explorer, Chrome и может маскироваться под загрузку FlashPlayer. Главной опасностью нового трояна является то, что он способен убедить пользователя в подключении к своему банку через защищенное SSL-шифрованием безопасное соединение. А в это время вредоносная программа перехватывает аутентификационные данные клиента.
По оценке экспертов, Dyre с технической точки зрения пока уступает известным троянам в банковской сфере. Так, он не может поддерживать технологию шифрования, благодаря чему специалисты довольно легко обнаруживают обмен данными между зараженными ПК в ботнете.