Egyre nagyobb az étvágya az adatlopó Dyreza trójainak

Az eddig elsősorban banki adatokra pályázó Dyreza trójai legújabb variánsa már korántsem finnyás. Tulajdonképpen minden bizalmas adatot ellop, amihez csak hozzáfér.
 

A Dyreza nem számít új keletű szerzeménynek a kártékony programok világában. A víruskutatók előtt már régebb óta ismert leginkább arról, hogy közbeékelődéses támadások révén próbál bizalmas adatokhoz hozzáférni. Amikor az első variánsa megjelent, akkor banki információkat igyekezett bezsebelni, és online banki fiókokhoz tartozó felhasználónevekkel, jelszavakkal látta el a terjesztőit. Aztán a károkozó készítői minden bizonnyal úgy gondolták, hogy ha már egyszer ilyen "sikeresek" a banki adatlopásban, akkor miért ne szerezhetnének más jellegű információkat is. Így született meg a Dyreza legújabb változata, amiről semmiképpen nem mondhatjuk azt, hogy válogatós lenne. 

A Proofpoint kutatói szerint a Dyreza hasonló módszereket alkalmaz, mint az eddig ismert variánsa, azonban sokkal többféle adat iránt mutat túlságosan nagy érdeklődést. Így például nem veti meg az álláskereső portálokhoz, a fájlok tárolására alkalmas szolgáltatásokhoz, a webáruházakhoz stb. tartozó hitelesítő információkat sem. Ráadásul már vállalati célpontokat is kiszemelt magának, és az ellátási láncokba bekapcsolódó logisztikai cégeket sem kíméli. 

Így zajlik egy támadás

A Dyreza a legtöbbször adathalász módszerek bevetésével terjed. Leggyakrabban phishing e-mailek útján próbálja rászedni a gyanútlan felhasználókat. A legutóbbi akciója során legálisnak tűnő banki levelek mellékleteként jelent meg. Ezek az e-mailek azt állították, hogy a mellékletükben egy bizalmas dokumentum található, amelyet olyan módon kell megnyitni, hogy közben legyen aktív internetkapcsolat. Amennyiben a címzett bedől a trükknek, és megnyitja a csatolmányt, akkor egy Word dokumentum tárul elé. 
A Word alkalmazás alapértelmezett beállítások esetén figyelmeztet, hogy a dokumentum makrókat akar futtatni, amit külön kell engedélyezni. A vírusírók azonban erre is gondoltak, és a dokumentum érdemi részét úgy állították össze, mintha az egy titkosított zagyvaság lenne. A felhasználót pedig illedelmesen arra kérik, hogy a dekódoláshoz és a dokumentum teljes tartalmának megtekintéséhez engedélyezze a makrók futtatását. Ha ennek a kérésnek is eleget tesz az áldozat, akkor kezdetét veszi a második fertőzési fázis. Ennek során a makró interneten keresztül beszerzi a trójai működéséhez szükséges további összetevőket. (Ezért hangoztatják a csalók a levelükben, hogy a dokumentumot internetkapcsolattal rendelkező számítógépen kell megnyitni.) 
Felmerülhet a kérdés, hogy a kártevő komponenseit miért nem mellékelik a leveleikhez a vírusterjesztők. Ennek elsősorban az az oka, hogy ilyen módon a víruskeresőkön és a tartalomszűrőkön nagyobb valószínűséggel tudják átjuttatni a küldeményüket. 

Védekezési lehetőségek

A Dyreza nagyon jól rávilágít arra, hogy miként lehet célba juttatni kártékony programokat. Látható, hogy a technológiai védelem nem minden esetben elégséges. Szükség van arra is, hogy az elektronikus leveleket és természetesen minden webes tartalmat biztonságtudatosan, kellő gyanakvással és fenntartásokkal kezeljünk. A Dyreza és a hasonló típusú ártalmas programok által okozott fertőzések könnyedén megelőzhetők, ha nem nyitjuk meg a gyanús mellékleteket, és nem engedélyezzük a makrók futtatását.