caro, também conhecido como Dyreza e Dyranges pela Symantec, é um notório malware para perseguir credenciais bancárias. Dyre está voltada principalmente para os clientes do Bank of America e Citibank, RBS e Natwest no Reino Unido, e Ulster Bank na Irlanda. Recentemente, ficou claro que também é uma ameaça para os clientes do Salesforce.
Como o Dyre entra no computador do usuário?
O ladrão de senhas bancárias foi detectado pelas pesquisas de malware, quando descobriram que isso poderia prejudicar o SSL, que protege as sessões HTTPS. Ele também tenta contornar a autenticação especial de dois fatores exigida pela maioria dos bancos europeus.
Os especialistas em malware dizem que o tráfego é controlado pelos invasores por meio da abordagem ‘Man in The Middle’, e eles têm a opção de ler tudo, incluindo o tráfego SSL. Nesse caminho, Dyre pode roubar as credenciais de muitos bancos.
Os alvos da rede no Reino Unido foram atraídos por e-mails de faturas falsas ou e-mails de phishing para clicar em links com malware. Esses links levam as vítimas aos dados da folha de pagamento do fornecedor de software Sage, com sede no Reino Unido. Nos Estados Unidos, as vítimas receberam e-mails de phishing disfarçados de notificações rejeitadas de pagamento de impostos federais ou por meio de mensagens que fingiam ser faxes da Epson.
Como o Dyre afeta o computador do usuário?
Dyre é um malware que reside no computador infectado, Contudo, não é um perigo para o seu software. A vítima nem mesmo obtém evidências de que está sob seu impacto. Os cibercriminosos confirmam que Dyre funciona com a técnica de interceptação do navegador para o Chrome, Firefox e Internet Explorer. Isso significa que o malware coleta dados quando o usuário infectado faz uma conexão a um site especificado neste malware.
caro: Como reduzir o risco de infecção
Dyre é semelhante em função a Zeus, no entanto, os analistas de malware pensam que não está relacionado a este malware. Existe uma maneira de os usuários reduzirem o risco de infecção. Eles devem fazer o seguinte:
- As restrições de faixa de IP devem estar ativas para que os usuários tenham permissão para acessar a salesforce.com apenas a partir de sua rede corporativa ou VPN
- Use a confirmação de identidade de SMS para garantir a proteção de login nos casos em que as credenciais do Salesforce são aplicadas de uma fonte não identificada.
- Use Salesforce #, que fornece uma camada extra de verificação de segurança em duas etapas.
- Aproveite os recursos de autenticação SAML para exigir que cada tentativa de autenticação seja originada da rede do usuário.