Dyre金融木马大约在一年前出现，并且目前已成为最有效的金融欺诈工具之一。犯罪分子利用Dyre对全球1000多家银行和其他公司的客户进行欺诈。在英语国家，尤其是美国和英国的客户面临最大的风险，这是因为被锁定为攻击目标的银行大部分位于这些国家。

　　在Gameover Zeus、Shylock和Ramnit 等几个重大金融威胁相继被打击后，由这些组织所造成的威胁已经削弱，但Dyre现在已经取而代之，成为普通客户所面临的主要威胁之一。

　　赛门铁克公司检测发现，Dyre的文件名为 Infostealer.Dyre，以Windows计算机为攻击目标，并且能够通过攻击三款主流Web浏览器（Internet Explorer、Chrome和Firefox）窃取银行凭证和其他凭证。此外，Dyre将构成双重威胁。除窃取凭证外，它还能够向受害者传染其他类型的恶意软件，例如将用户添加至垃圾邮件僵尸网络。

　　一年内的增长

　　根据赛门铁克安全响应团队发布的技术白皮书显示，感染Dyre的用户从一年前开始激增。这款恶意软件背后的攻击者不断提高攻击性能，并持续构建支持其发展的基础设施。

　　由于攻击者的目标不仅仅是为了窃取金融机构的信息，还抱有其他恶意目的，赛门铁克所检测到的活动数量并不能确认为实际的感染数量。赛门铁克发现，一些国家拥有很高的活动数量，但实际受到攻击的银行数量并不高。在过去一年中，赛门铁克检测到中国大约有1236次活动，并未列入前十大受威胁严重的国家，仅有2家银行成为攻击目标。

　　感染传播途径

　　Dyre主要通过垃圾邮件传播。在大多数情况下，恶意电子邮件伪装成商务文件、语音邮件或传真消息。当受害者点击电子邮件附件，就会被重新定向到一个恶意网站，该网站将在受害者的电脑上安装Upatre下载器。Upatre是金融欺诈组织最常用的侦测工具之一，此前Gameover Zeus和Cryptolocker组织都曾使用过该工具。它在受害者的计算机中充当桥头堡，收集相关信息以及试图禁用安全软件，最后下载并安装Dyre木马。

　　凭证窃取

　　Dyre能够使用几种不同类型的浏览器中间人 （MITB）攻击受害者的Web浏览器，从而窃取凭证。其中的一种MITB攻击会将受害者浏览过的每一个网页进行扫描，并对照Dyre预先配置的攻击网站清单进行核查。如果找到匹配结果，该MITB就会将受害者重新定向到与真正网站外观相似的虚假网站。该虚假网站将收集受害者的凭证，然后将其重新定向回原网站。

　　第二种MITB攻击可以通过添加恶意代码让Dyre篡改合法站点在浏览器窗口中的显示方式，进而窃取受害者的登录凭证。在某些情况下，Dyre还可能会显示一个附加的虚假页面，通知受害者其电脑无法被识别，并需要提供其他凭证来验证用户身份，例如生日、PIN码和信用卡详细信息。（肖文）