Dyreza; بدافزار بانکی غیرایرانی
بدافزارهای بانکی ابزارهای موفقی برای مجرمان سایبری و نفوذگران بوده اند تا آنان بتوانند مبالغ هنگفتی از حسابهای بانکی کاربران ناآگاه و بی احتیاط سرقت کنند. بدافزارهایی نظیر Zeus و Carberp نمونه های زنده و واقعی از این نوع بدافزارها هستند که در چند سال گذشته همواره فعال بوده و علیرغم تلاش بانکها و ارگان های دولتی و امنیتی، توانسته اند همچنان به فعالیت های مخرب خود ادامه دهند.
اکنون نیز بدافزار جدیدی به این گروه افزوده شده که به خاطر شیوه خاص بدافزار در به دست آوردن مجوز دسترسی کاربر به سایت های بانکداری الکترونیکی، برای خود شهرت کسب کرده است. بدافزار Dyreza قادر است با هدایت و عبور دادن ترافیک بین کاربر و سایت بانکداری از طریق مرکز کنترل و فرماندهی خود، رمزگذاری SSL این ترافیک را دور بزند. به این روش Browser Hooking گفته می شود.
بدافزار Dyreza یا Dyre برای اولین بار توسط شرکت امنیتی CSIS کشف و شناسایی شد. فعالیت عمده این بدافزار در کشورهای اروپایی و آمریکا است و بانک های بین المللی و مشهوری نظیر Ulster Bank ،NatWest ،Royal Bank of Scotland و Bank of America را هدف قرار داده است. اخیراً نیز گزارش هایی درباره سیستم های آلوده به Dyreza که از سرویس های آنلاین بازاریابی و فروش شرکت Salesforce.com استفاده می کنند، دریافت شده است.
بدافزار Dyreza از طریق ایمیل های ناخواسته یا هرزنامه (Spam) منتشر می شود. با باز و اجرا کردن فایل آلوده که به این هرزنامه ها پیوست شده، کامپیوتر کاربر آلوده به بدافزار Dyreza می شود. سپس بدافزار با مرکز کنترل و فرماندهی خود تماس گرفته و ارتباط برقرار می کند. پس از آن، بدافزار گوش به زنگ منتظر می ماند تا کاربر به سایت های بانکی مراجعه کند و در صورتیکه بانک مورد استفاده کاربر در گروه بانکهایی باشد که برای بدافزار Dyreza قابل سوء استفاده است، بدافزار وارد میدان می شود.
فایلهای آلوده پیوست که توسط هرزنامه ها منتشر می شوند، اغلب از نوع فایل PDF هستند و یا بصورت فایل ZIP که حاوی فایل PDF آلوده می باشند. نام فایل PDF حاوی بدافزار اکثراً invoice 621786 است. موضوع ایمیل های ارسالی نیر اغلب درباره صورتحساب پرداخت نشده (Unpaid Invoic) است. کلمه انگلیسی invoice غلط دیکته ای دارد و به صورت invoic نوشته شده است.
بدافزار Dyreza از نقاط ضعف خاصی در نرم افزار Adobe Acrobat و Adobe Reader سوء استفاده می کند تا قادر به نصب و فعالسازی خود بر روی کامپیوتر قربانی باشد.
در روش Browser Hooking بدافزار در بین کاربر و سایت بانک قرار می گیرد و قبل از اینکه اطلاعات ارسالی کاربر رمزگذاری شده و با پودمان امن SSL به سایت بانک ارسال شود، بدافزار ترافیک را در اختیار گرفته و آنرا به سمت سرور کنترل و فرماندهی بدافزار هدایت می کند. کاربر هیچگاه متوجه این اتفاق نمی شود و در ظاهر هم هیچ تغییری در مرورگر خود نخواهد دید. کاربر همچنان مشاهده و باور خواهد کرد که مرورگر او با پودمان امن https با سایت بانک در ارتباط می باشد.
بدافزار Dyreza قادر است روش مخرب Browser Hooking را بر روی مرورگرهای Firefox، Chrome و Internet Explorer به اجرا در آورد.
در اخبار، گزارشها و مقالات منتشر شده درباره بدافزار Dyreza هیچ اشاره ای به ارتباط بدافزار یا نویسندگان و گردانندگان بدافزار با ایران یا افراد ایرانی نشده است. شاید نام بدافزار که می تواند بصورت “دائی رضا” خوانده شود یا وجود کلمه Reza در قسمتی از نام بدافزار، باعث شده تا توجه خاصی به این بدافزار در کشور ایجاد شود.
پیش از انتشار اخبار و جزئیات بدافزار Dyreza توسط شرکت CSIS اغلب ضدبدافزارهای رایج دنیا قادر به شناسایی این بدافزار بوده اند. در نتیجه به روز نگه داشتن ضدویروس و همچنین نصب اصلاحیه های امنیتی و به روز کردن سیستم عامل، مرورگر و نرم افزارهای کاربردی رایج (نظیر Adobe Reader/Acrobat) می تواند مانع از فعالیت و آلودگی بدافزارهایی نظیر Dyreza شود.