シマンテックは6月23日、「金融機関を狙うトロイの木馬として主力となった Dyre」と題するセキュリティブログを公開した。
ブログでは、Dyreと呼ばれる金融機関などを狙うトロイの木馬に触れられている。Gameover Zeus、Shylock、Ramnitなどの金融機関を狙うマルウェアが影を潜める中、1年近くでDyreは急増したという。
脅威を受けているのは全世界で、現時点で1000以上の金融機関や企業などが被害を受けている。標的となった銀行の所在地は米国と英国が多く、その地域のオンラインバンキングの利用者は特に注意が必要であると指摘している。
Dyreは、Windows搭載のコンピューターを標的とし、Internet Explorer、Chrome、FirefoxといったWebブラウザーを総当りで攻撃できる機能を持つ。感染したコンピューターの資格情報を盗み出すほか、標的を他のマルウェアに感染させてスパムボットネットに組み入れたりする。
攻撃の発端となるのは主にスパムメールで、ビジネス文書、音声メール、FAX メッセージに偽装されるケースが多いという。受信者がメールの添付ファイルを開こうとすると、悪質なWebサイトにリダイレクトされ、そこで「Upatre」ダウンローダがコンピュータ上にインストールされてしまう。
Upatreは、金融詐欺グループが頻繁に使う調査/ダウンローダツールのひとつで、Gameover ZeusやCryptolockerの犯人グループにも利用されていたもので、被害者のコンピュータ上で足がかりとして機能する。そのコンピュータに関する情報を収集し、セキュリティソフトウェアの無効化を試みて、最終的にはトロイの木馬 Dyreをインストールするという仕組みだという。
Dyreは、被害者のWebブラウザーに対して何種類かのマンインザブラウザー(MITB)攻撃を仕掛け、資格情報を盗み出す機能がある。MITB攻撃では、ユーザーが訪問したすべてのWeb ページをスキャンし、攻撃対象としてあらかじめ Dyreに設定されているサイトのリストと照合する。サイトの一致が見つかった場合は、正規のサイトによく似た偽のWebサイトに被害者をリダイレクトする。偽サイトは、被害者の資格情報を確保したうえで、再度リダイレクトして正規のサイトに被害者を戻す。
また、悪質なコードを追加することで、ブラウザーウィンドウで正規のWeb サイトの表示を改変し、被害者のログイン情報を盗み出そうとする。別の偽ページを表示するケースもあり、コンピュータが認識されなかったというメッセージを表示し、身元を確認するために生年月日、暗証番号、クレジットカード情報といった資格情報を入力を求めてくるという。
Dyreは、被害者のコンピュータをさらに別のマルウェアに感染させる目的にも利用されている。シマンテックは現在まで、感染したコンピューターに送りこまれるマルウェアとして7つのグループを確認したという。多くの場合、被害者のコンピュータはボットネットに組み込まれ、新たなスパム活動に利用されたり、被害者への感染を広げたりするために悪用されているという。
シマンテックでは、Dyreで攻撃するグループが東ヨーロッパまたはロシアが拠点だと推測している。グループのコマンド & コントロール(C&C)サーバーインフラストラクチャは、大部分がこれらの地域にあり、同地域で感染の件数はそれほど多くなかったという。攻撃者のグループは、拠点に近い標的を避けることで、目立たないように注意を払いながら攻撃を続けていることもあり、今後も被害が拡大する可能性は高い。