Dyre-Update bringt Opfer um Millionen

Im Laufe der ersten drei Monate dieses Jahres hat der Trojaner Dyre in der Hierarchie der Finanzschädlinge einen steilen Aufstieg hingelegt. Kürzlich ergänzten die osteuropäischen Cyberverbrecher, die Dyreza/Dyre verbreiten, ihr Arsenal um ein weiteres Social Engineering-Element, und zwar richteten sie ein gefaktes Call-Center ein, um ihren Opfern Passwörter und TANs zu entlocken und dabei die Zwei-Faktoren-Authentifizierung zu umgehen.

Entdeckt haben den neuen Trick Forscher von IBM, die bereits eine Reihe von betrügerischen Transaktionen registriert haben, die mit Hilfe dieser Neueinführung umgesetzt wurden. Ihren Einschätzungen zufolge hat die Erweiterung des Betrugsschemas, d.h. die Einführung des falschen Call Centers, den Betreibern von Dyre bereits über 1 Million Dollar in die Kassen gespült. „Sie haben die Philosophie und Technologie im ersten Quartal tatsächlich grundlegend geändert“, kommentiert John Kuhn, Senior Threat Researcher bei IBM Managed Security Services.

Neben der neuen Social-Engineering-Falle setzen die Betreiber von Dyre jetzt auch DDoS zum Verschleiern ein, wodurch es ihnen ermöglicht wird, ein pralles Konto innerhalb von Sekunden zu leeren. Eine DDoS-Attacke gegen die angegriffene Bank oder Organisation ist ein Ablenkungsmanöver und soll es den Cyberkriminellen erleichtern, die Bankkunden in Ruhe auszurauben. Seit Ende letzten Jahres stieg die Population von Dyre laut Kuhn von einigen hundert in die Tausende.

„Der Diebstahl von Passwörtern mit Hilfe des Call-Centers ist eine kühne Neueinführung“, stellt der Experte fest. Von IBM befragte Opfer aus Amerika bestätigen, dass die auf die Anrufe antwortenden Betrüger gut Englisch sprechen und keinerlei Anlass zu der Vermutung geben, es könne sich um einen Betrug handeln.

Die der Ablenkung dienenden DDoS-Attacken werden nach Angaben von Kuhn selektiv eingesetzt, und zwar nur in den Fällen, wenn die Betrüger große Summen abziehen. „Um Zeit beim Diebstahl des Geldes zu gewinnen, wird gegen die Zielorganisation eine durchschlagskräftige DDoS-Verstärkungsattacke durchgeführt“, erklärt Kuhn. „Ihr Ziel besteht darin, Ressourcen abzuziehen [im Moment der betrügerischen Transaktion] oder zu erreichen, dass sie aufgezehrt werden, damit das Opfer nicht erneut auf sein Bankkonto zugreifen kann.“

Der Trojaner Dyre treibt seit etwa einem Jahr sein Unwesen im Netz und hat seither schon viele Unannehmlichkeiten verursacht, allerdings nicht nur bei Finanzorganisationen. Er spielte auch beim Diebstahl der Account-Daten von Salesforce.com eine Rolle sowie beim Einsatz eines Windows-Exploits, das genau dieselbe Sicherheitslücke ausnutzte, die auch von der APT-Gruppe Sandworm angegriffen wurde.

Hinsichtlich des Infektionsschemas unterscheidet sich Dyre nur wenig von anderen Bank-Trojanern, wie etwa ZeuS oder seinen Spielarten. Üblicherweise wird er über Links oder Anhänge in zielgerichteten Phishing-Mails verbreitet, die an einen bestimmten Angestellten oder eine Gruppe von Mitarbeitern in einer Organisation gerichtet sind. Im Erfolgsfall wird auf dem Rechner des Opfers zunächst der Downloader Upatre installiert, der eine Backdoor öffnet und Dyre lädt. Wenn das Opfer Zugriff auf das Unternehmenskonto hat, zeigt der mit Web-Einschleusungen für hunderte Banken gerüstete Trojaner ihm eine Mitteilung über ein angebliches Problem an, zu dessen Lösung es eine kostenlose Telefonnummer anrufen soll.

Mit Hilfe von Social Engineering pressen die Cyberkriminellen Informationen aus dem Opfer, die es ihnen ermöglichen, die von den Banken eingeführten Maßnahmen zum Schutz vor Betrug zu umgehen. Daraufhin überweisen sie das Geld auf Schwarzkonten – im Schutz einer DDoS-Attacke, wenn die Summe ausreichend hoch ist.

Laut IBM sind die Betreiber von Dyre darum bemüht, die Lebensdauer dieser lohnenden Operation, die ihnen bereits Millionen eingebracht hat, zu verlängern. „Wir beobachten Upatre-Samples, von denen 10-20 oder mehr pro Tag hereinkommen, und die Cyberkriminellen schreiben sie ständig um und verändern ihr Äußeres, um sie vor Erkennung zu schützen“, kommentiert Kuhn. „Sie haben offensichtlich einen guten Technischen Support, der genau Buch führt. Das ist eine gerechtfertigte Praxis, die es Upatre ermöglicht, den Perimeterschutz zu umgehen.“

Den Beobachtungen von IBM zufolge wurde der Upatre-Code seit Beginn des Jahres bereits mehrere Male überholt. „In einigen Fällen wurde der Code komplett umgeschrieben“, schreibt Kuhn. „Wir unterziehen den Code einem Reverse Engineering und manchmal ist er völlig anders. Sie verändern ständig die Namen, Hashs, die Komprimierungsart, selbst das Icon des Anhangs. Dem Opfer wird eine ausführbare .scr-Datei angeboten, obgleich das Icon eine pdf-Datei vorgaukelt.“

Die Statistik von IBM zeigt, dass Dyre der fruchtbarste aller modernen Banker ist – hinsichtlich seiner Population hat er Neverquest, Bugat, ZeuS und einige brasilianische Trojaner übergeholt. Und die Zahl dieser Infektionen steigt weiter an, insbesondere in Nordamerika, wo Dyre fast doppelt so häufig detektiert wird wie in Europa.

„Die Aufforderung anzurufen und die DDoS-Attacken – das sind verblüffende Veränderungen“, schließt Kuhn. „Ich weiß nicht, ob es noch irgendeine andere Kampagne oder einen anderen Trojaner gibt, die Business-Strukturen angreifen anstelle individueller Anwender. Diese Cyberkriminellen sind hinter dem großen Geld her, und sie sind dabei überaus erfolgreich.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.