ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Новый вариант вредоноса уже успел инфицировать 80 тысяч устройств.

ИБ-исследователи из Heimdal Security обнаружили, что новая модификация банковского трояна Dyreza теперь направлена на устройства на базе Windows 10 и браузер Microsoft Edge. Вредонос собирает личные данные пользователя, а затем отправляет их на свои серверы.

Dyreza или Dyre «убивает» серию процессов, связанных с системой безопасности для того, чтобы быстрее проникнуть в систему и увеличить свою производительность. Стоящие за вредоносом злоумышленники используют спам-кампанию, известную под названием «spray & pray», в которой Dyreza отправляется случайным жертвам.

Новый вариант Dyreza не только инфицирует компьютеры с целью хищения финансовой информации, вредонос также объединяет зараженные машины в ботнет. Согласно данным ИБ-исследователей, в настоящее время Dyreza успел инфицировать 80 тысяч компьютеров. Вредонос может внедрять код в такие браузерные процессы, как «chrome.exe», «chromium.exe», «firefox.exe», «iexplore.exe» и «microsoft edge».

В числе уязвимых для Dyreza продуктов оказались Windows 7, 7 SP1, XP, 8, 8.1, Server 2003, Vista SP2, Vista, Vista SP1 и 10 IP. Новый штамм вредоноса получил модуль «aa32», предназначенный для 32-битных систем, или «aa64» - для 64-битных. Модуль внедряет себя в процесс «spoolsv.exe» для того, чтобы постоянно прерывать связанные с безопасностью процессы. Чаще всего Dyreza инфицирует системы с помощью загрузчика Upatre.

Эксперты считают, что новая модификация Dyreza активизировалась в настоящее время в связи с грядущими праздниками и «Черной пятницей» для того, чтобы собрать максимальное число конфиденциальных данных.

20/11/15 http://www.securitylab.ru/news/476938.php