Dyre Malware Takes Summer Holiday in Spain

Una nueva configuración del Troyano Dyre persigue a 17 bancos españoles

¿Qué hay de nuevo?

Al mismo tiempo que los europeos se dirigen a las playas españolas este verano, los cibercriminales que están detrás del exitoso malware Dyre no se toman ni un minuto de descanso. Al contrario, están subiendo la temperatura y han puesto sus ojos en 17 bancos españoles y en diferentes filiales en España de bancos europeos. Los investigadores de IBM Security X-Force han podido analizar un nuevo archivo de configuración del troyano Dyre, tras la distribución de una nueva versión del malware. Se trata de la primera configuración que apunta a un número tan grande de bancos españoles. Las versiones previas sólo incluyeron tres y cinco bancos con base española en la lista de víctimas, seguramente como forma de probar el terreno antes de moverse hacia una fase más agresiva.

El análisis revela que los desarrolladores de Dyre han expandido las capacidades y alcance del malware actualizando sus inyecciones de código, y así llegan a los bancos que están persiguiendo en España. Además de sus objetivos en España, la banda de Dyre ve oportunidades en otros países de habla hispana más allá de la propia España, atacando en Chile, Colombia y Venezuela. Nada de esto resulta sorprendente, dado que el español es la segunda lengua más hablada en el mundo.

Dyre no es una nueva amenaza en Europa. Ya había apuntado a diversos bancos en el continente europeo, dejando fuera solamente a Rusia y a la región de la antigua Unión Soviética. Dentro de Europa, las tasas de infección de Dyre en España ocupan el tercer puesto, después de Reino Unido y Francia.

En números, las compañías españolas registraron pérdidas de 14 billones de euros en 2014. Las ultimas noticias sobre cibercrimen en España relatan el arresto de una banda que logró recaudar 2 millones de euros en llamadas de teléfono fraudulentas a números premium desde teléfonos o tarjetas SIM robados.

IBM ha compartido sus últimos hallazgos sobre Dyre para preparar y ayudar a proteger a los bancos a los que se dirigen estos ataques contra el aumento en riesgos de seguridad.

Acerca de Dyre

Aparentemente Dyre, cuyo nombre proviene de la frase encontrada en su código “I am Dyreza”, empezó a mediados de 2014 como un simple proyecto RAT (Acrónimo en inglés de Troyano de acceso remoto). Aunque inicialmente se dedicaba a captar credenciales cifradas, ha evolucionado de manera rápida y agresiva desde entonces, cambiando tanto su estructura técnica como su metodología criminal. Hoy en día, Dyre es un troyano bancario en toda regla que mantiene en vilo a los profesionales relacionados con la seguridad y a sus víctimas intentando poner remedio.

Dyre es uno de los códigos activos de malware más avanzados en la actualidad dadas sus capacidades multifuncionales y sus constantes actualizaciones, diseñadas para eludir cualquier mecanismo de detección proveniente de un antivirus u otro mecanismo de seguridad estática. Y, al mismo tiempo que desde un punto de vista técnico Dyre resulta interesante por sí mismo, el grupo que está tras él lleva a cabo la investigación más importante hoy en día para profesionales que luchan contra el cibercrimen.

La banda de cibercriminales detrás de Dyre no está compuesta por amateurs. Empezando por su infraestructura, la mano de obra, el conocimiento profundo de los sitios web bancarios y sus esquemas de autenticación, este grupo tiene respaldo de recursos, es experimentado y astuto.

El equipo de Dyre es una "banda privada" y cerrada. Es la denominación que se da a los grupos cibercriminales dueños del crimeware (software criminal específicamente diseñado para la ejecución de delitos financieros), que desarrollan y guardan para sí mismos. No intercambian información en foros underground sobre el fraude, ni comparten conocimiento o hacen preguntas. No venden el malware, y se muestran extremadamente cuidadosos a la hora de incluir nuevos miembros a su banda.

Dyre está relacionado con otros conocidos grupos operativos de malware. La banda tiene conexiones con el programa de descarga Upatre, con la botnet de spam Cutwail, y el exploit kit RIG. Además, ya ha compartido servidores de comunicación con el troyano Feodo (descendencia del ruso Bugat).

Ataques cibercriminales selectivos

Desde sus inicios, la banda de Dyre no se planteó este juego para alcanzar una meta fácil como ocurre normalmente con las bandas más pequeñas relacionadas con el cibercrimen. Este equipo llegó apuntando alto. Y por alto me refiero a dinero corporativo, al menos medio millón de dólares cada vez.

Fueron los laboratorios PhishMe los que a mediados de 2014 hicieron pública por primera vez la operación inicial de Dyre. Hay que tener en cuenta que, por lo general, en el momento en que se descubre un malware, ya lleva funcionando unos cuantos meses. No llevó más de tres meses para que IBM Security empezara a informar de que Dyre apuntaba a las cuentas de Salesforce.com de los bancos americanos más importantes, y que estaba recolectando información de sus clientes.

En ese momento, muchos creyeron que Dyre quería hacerse con los datos para monetizar el espionaje empresarial, pero, cuando IBM descubrió la campaña Dyre Wolf a principios de 2015, las cosas se volvieron nítidas para todos: ataques de transferencias fraudulentas selectivas.

Este fraude selectivo representa un cruce entre ataques APT (acrónimo en inglés de Amenaza persistente avanzada) y ataques de fraude financiero. Los criminales empiezan adquiriendo conocimiento sobre la organización a la que van dirigidos, invierten tiempo y ponen atención en abrir brechas en sus sistemas, y así preparan el terreno para el fraude antes de golpear con una transferencia electrónica ilícita de una gran suma de dinero.

Con el nuevo archivo de configuración específico para España, los bancos españoles y sus clientes corporativos tienen un mayor riesgo de sufrir ataques de transferencias fraudulentas selectivas.

¿Cómo funcionan estos ataques?

Para lanzar estos ataques de transferencias fraudulentas selectivas, Dyre despliega un "equipo SWAT" (acrónimo en inglés de Armas y tácticas especiales) dentro de sus filas. Este equipo especial realiza estas operaciones fraudulentas cuidadosamente mediante llamadas de teléfono realizadas por expertos con las habilidades que la entidad defraudada esperaría de su banco. El fraude puede continuar con un ataque DDoS para asegurarse de que la compañía no pueda volver a conectarse a la cuenta o está ocupada intentando averiguar cómo eludir el ataque.

Dyre, a diferencia del malware avanzado de grado similar, está operado por lo que parece ser un grupo muy bien organizado. La botnet total se divide en secciones, las campañas se marcan con la fecha de lanzamiento y las regiones se separan en diferentes versiones del malware.

Parece que un grupo reducido de "trabajadores" se dedica a cada zona para maximizar los beneficios de cada cuenta capturada.

figure1

Figura 1: Dyre Wolf – Flujo de sucesos de ataques de transferencias fraudulentas selectivas.

Pasos del ataque Dyre Wolf

1) Arpón Phishing: Un empleado de la organización objetivo recibe un correo electrónico con el malware Upatre.

2) Primera fase ejecución del malware: Después de abrir el archivo adjunto, el malware queda instalado.

3) Segunda fase ejecución del malware: Upatre establece comunicación con el atacante y descarga Dyre.

4) La víctima se conecta a la cuenta bancaria objetivo: Problema con su cuenta, llame al banco al teléfono 1-80-XXX. Dyre altera la respuesta desde el sitio web del banco, engañando a la víctima que llama a un número ilegítimo.

5) La llamada de teléfono: Ingeniería social avanzada. Para superar las medidas de protección del banco contra el fraude, los ingenieros sociales de Dyre Wolf obtienen información crítica de la víctima.

6) La transferencia electrónica. Hasta 1.5 millones de dólares se transfieren de manera rápida y eficiente desde la cuenta de la víctima a diferentes cuentas en el extranjero.

7) El DDoS. Inmediatamente después del robo, empieza un gran volumen de DDoS contra la víctima para distraer u ocultar la investigación.

Los "trabajadores" que se ocupan de perpetrar diariamente el fraude Dyre trabajan de lunes a viernes, desde la mañana a la noche siguiendo las zonas horarias de EE. UU. Normalmente los fines de semana son periodos de inactividad.

Además de los ataques cotidianos de transferencias fraudulentas, Dyre también tiene un "equipo SWAT" criminal dedicado al fraude a lo grande: cuentas bancarias corporativas y transferencias extremadamente elevadas. Estamos hablando de transferencias que pueden empezar con 500.000 dólares y alcanzar hasta 1.5 millones de dólares de una vez. Puesto que estos importantes ataques fraudulentos de una sola vez ocurren en medio de otras campañas más pequeñas y requieren habilidades altamente especializadas, además de una atención especial en tiempo real, creemos que existe una clara separación de tareas dentro de los equipos atacantes.

Es probable que este "equipo SWAT" de Dyre sea la facción que está detrás de los ataques de tipo Dyre Wolf. En estos golpes específicos y selectivos, Dyre persigue las cuentas bancarias más importantes, defraudando a las compañías que mueven grandes cantidades de dinero en productos o servicios. Pensemos en organizaciones farmacéuticas, de gas y petróleo o fabricantes, que hacen negocios en el exterior como parte de su trabajo y normalmente pagan grandes sumas de dinero en transferencias SWIFT a países como China.

Definitivamente esto no es lo que vemos en un tipo de malware comercial como Zeus, en cada una de sus variantes, ni en código compartido como Bugat y Dridex, o incluso en códigos avanzados medio-públicos, como Tinba y Neverquest.

En cuanto a la ubicación, parece que los equipos están localizados en Ucrania y Rusia, según se deduce del patrón de horas de trabajo y de la zona horaria (UTC +2, UTC +3), y del hecho de que, tal como informa Symantec, más del 80% de los servidores Dyre provienen de direcciones IP rusas y ucranianas.

Read the report: Inside the Dyre Wolf malware campaign

¿Por qué destaca Dyre?

A pesar de que Dyre empezó como un código más simple en lo que se refiere a sus capacidades como malware, ahora es un ladrón de información muy potente y una herramienta de inyección sofisticada al navegador. Los investigadores de IBM Security X-Force ven que este proyecto de malware está en evolución permanente. El archivo ejecutable se actualiza constantemente, a veces literalmente cada semana. Las configuraciones se adaptan a la región atacada, la mayoría de las veces la EU y EE.UU.

Los desarrolladores de Dyre se ocupan de añadir más capas de evasión y cifrado, características anti-investigación, nuevos trucos anti-sandbox, todos ellos desarrollados a fin de mantener a Dyre oculto y asegurarse de que continúa produciendo cantidades masivas de dinero en efectivo robado que recolecta para sus operadores.

Esquemas de inyección en tiempo real de Dyre

El poder de Dyre radica en su habilidad para manipular el navegador de internet, sobre la marcha y de manera muy selectiva, de acuerdo con el banco objetivo.

Al principio, los operadores de Dyre se esmeraban en la tarea de enviar víctimas a páginas falsas que habían preparado con antelación. Para hacerlo, replicaban literalmente las páginas web de autenticación de los bancos y la página posterior, recordando lo que tratan de hacer los ataques de pharming. Mantenían activa la conexión SSL con el banco, sólo para aparentar legitimidad al usuario y a las herramientas de seguridad en funcionamiento, mostrando que la comunicación actual seguía siendo segura.

Este método debe haber sido muy costoso porque, desde entonces, se ha convertido en una implementación de inyección en el navegador. Lo que lo diferencia a Dyre es el hecho de que la configuración de estas inyecciones no se salva localmente en la máquina infectada para ser usada después por el malware según la necesite. Más bien, las inyecciones vienen dictadas por su propio servidor de inyecciones-web, en tiempo real, de manera dinámica, y de forma selectiva según cada URL accedida.

Este método permite a Dyre manipular la página mostrada a la víctima de una forma más controlada, pero también mantener todos sus esquemas de configuración tan ocultos como sea posible desde los ojos fisgones de los profesionales de seguridad.

Recientes descubrimientos publicados sobre la táctica usada por Dyre provienen de un investigador, Bryan Campbell, analista de inteligencia de las principales amenazas en Fujitsu SOC, que incluyó una entrada en su blog sobre el malware que usaba routers 'secuestrados' para cargar gratis sus comunicaciones con la botnet y ocultarlas. En una conversación online que mantuve con Campbell, teorizamos acerca de las razones de Dyre para hacer esto. La respuesta parece simple: Dyre ha encontrado una forma sencilla de tomar el control de estos routers y funcionar a través de ellos como una capa añadida para ofuscar el tráfico en los ya de por sí complicados esquema de comunicaciones.

De acuerdo con su configuración, Dyre opera un servidor dedicado para el tráfico de inyecciones-web, y otros distintos para su C&C y la exfiltración de datos. Para mantener confidencial su botín y eludir las listas negras, Dyre usa I2P para anonimizar sus conexiones. Como mecanismo alternativo, Dyre cuenta con el avanzado Algoritmo de generación de dominios (DGA) para asegurarse de que sus bots puedan comunicar a través de un recurso que cambia dinámicamente.

Estado de la amenaza

Teniendo en cuenta la expansión de Dyre en el mes pasado, los datos de IBM muestran que Dyre ocupa el segundo lugar justo después de Neverquest, que es un malware comercial muy extendido. Resulta interesante que Dyre, un troyano de propiedad privada, sea el segundo troyano más prolífico entre los ataques cibercriminales.

Top Ten del malware avanzado más prolífico

Figura 2: Top Ten del malware avanzado más prolífico en los últimos 30 días (IBM Security)

Las tendencias de la campaña de infección actual de Dyre muestran que los picos cíclicos son muy típicos de la forma en que la banda disemina el malware a nuevas máquinas y dispositivos.

De acuerdo con la nomenclatura de la campaña interna de Dyre, donde los identificadores de campaña llevan el mes y el día en el que se lanzaron, se lanzan nuevos ataques de spam dos o tres veces a la semana, en diferentes países.

La figura 3 muestra la tendencia de infección de Dyre en España incluso desde el lanzamiento de la nueva configuración dirigida al ataque de los bancos españoles.

Dyre Trojan - figura 3

Figura 3: Top Ten del malware avanzado más prolífico en los últimos 30 días (IBM Security)

¿Y ahora?

En base a otras campañas de Dyre con las que IBM Security X-Force está familiarizado, esperamos ver que Dyre da especial atención al territorio español. Por lo general, las campañas de infección de amplia diseminación vía correos electrónicos que contienen el malware llevan el cargador de Dyre, el programa de descarga Upatre. La forma más común de spam que usa Dyre son notificaciones de impuestos, facturas o informaciones falsas sobre paquetes como cebo para que los usurarios abran los archivos adjuntos y lancen sin saberlo Upatre, que obtiene y ejecuta Dyre.

Las campañas están ligadas al aumento de las tasas de infección en el país y tendrán como resultado un incremento de las transacciones fraudulentas.

Nuestros expertos recomiendan que los bancos alerten a sus clientes y refresquen las secciones de seguridad bancaria online en sus sitios web. Los bancos deberían instar a los clientes a que informen de cualquier correo electrónico sospechoso a sus buzones de delitos electrónicos y colaboren estrechamente con su proveedor antifraude para minimizar los riesgos tanto como sea posible.

Tanto IBM Security's Trusteer como Emergency Response Services han trabajado con los clientes para estudiar y parar los ataques de Dyre, y los de Dyre Wolf, y pueden servir de ayuda a aquellos bancos que quieran saber más sobre esta amenaza de alto riesgo.

New Configuration of the Dyre Trojan Coming After 17 Spanish Banks

As Europeans head to the beaches of Spain this summer, the cybercriminals behind the highly successful Dyre malware are not taking a break. In fact, they are turning up the heat and have set their sights on 17 Spanish banks, and several European banks’ Spain-based subsidiaries. IBM Security X-Force researchers were able to analyze a new Dyre Trojan configuration file that followed the release of a new Dyre build. This is the first configuration that targets such a large number of Spanish banks. Previous versions only included three or five Spain-based banks on the victim roster, likely as a way to test the waters before moving to a more aggressive phase.

The analysis reveals that Dyre’s developers have expanded the capabilities and reach of the malware by updating its webinjections to match the new banks they are targeting in Spain. On top of its Spanish targets the Dyre gang sees opportunities in other Spanish speaking countries beyond Spain, attacking in Chile, Colombia and Venezuela. This is hardly surprising given that Spanish is the second most spoken language in the world.

Dyre is not new in Europe. It already targets banks all over the European continent, unsurprisingly leaving out only Russia and the former Soviet Union region. Within Europe, Dyre infection rates in Spain are ranked third after the UK and France.

In numbers, Spanish companies recorded losses of EUR 14 billion from cybercrime in 2014. The recent cybercrime news from Spain features the arrest of a gang that managed to amass EUR 2 million in fraudulent premium number phone calls from stolen phones and SIM cards.

IBM has appropriately shared the new Dyre information to help prepare and protect targeted banks against the heightened security risk.

About Dyre

Dyre, which was named after a string calling “I am Dyreza” found inside its code, started out as a seemingly simple RAT (Remote Access Trojan) project in mid-2014. While it used to only sniff out encrypted credentials, it has since rapidly and aggressively evolved, shape-shifting in both its technical makeup and crime methodologies. Nowadays, Dyre is a full-blown banking Trojan that is keeping security professionals guessing, and its victims in constant remediation mode.

Dyre is one of the most advanced malware codes active in the wild nowadays because of its feature-rich capabilities and its constant updates, which are designed to evade detection by anti-virus and static security mechanisms. And while Dyre in itself is rather interesting from a technical standpoint, the group behind it is the more important study for today’s counter-cybercrime professionals.

The cybercrime gang behind Dyre is certainly not composed of amateurs. From its infrastructure scheme, to the manpower, to the knowledge of banking websites and authentication schemes, this group is resource-backed, experienced and savvy.

Dyre’s team is a closed, “private gang.” This denomination is given to cybercrime groups who own crimeware that they develop and keep to themselves. They do not exchange information in underground fraud boards, share knowledge, or ask questions. They do not sell the malware, and they’re extremely careful about adding new members to their gang.

Dyre is linked with a number of well-known malware operating groups. The gang has ties to the Upatre downloader, the Cutwail spam botnet, the RIG exploit kit, and has already shared communication servers with the Feodo Trojan (a Russia-made Bugat offspring).

Dyre’s Targeted Cybercrime Attacks

From its early beginnings, Dyre’s gang was not in the game for the low-hanging fruit typically pursued by smaller, run-of-the-mill cyber gangs. This team came in aiming high. And by high, I mean corporate money, at least half a million dollars at a time.

Information about the initial broad-stroke Dyre operation first became public in mid-June 2014 by PhishMe labs. Keep in mind that at the point that malware is uncovered, it has usually already been in the wild for a few months. It was no more than three months later that IBM Security started reporting about Dyre targeting the Salesforce.com accounts of major American banks and harvesting their customer information.

At the time, many thought that Dyre was after data to monetize for business espionage purposes, but by the time the Dyre Wolf campaign was discovered by IBM in early 2015, things became a lot clearer: targeted wire fraud attacks.

Targeted fraud represents a cross between APT attacks and financial fraud attacks. The criminals begin by obtaining intelligence about the organization they are going to target, they invest time and attention to breaching its systems, and set the ground for fraud before they hit with a very large illicit wire transfer.

With the new Spain-specific configuration file, Spanish banks and their corporate clients are at a higher risk to suffer targeted wire fraud attacks.

Read the full report for a deep dive into The Dyre Wolf campaign

How Do These Attacks Work?

To launch these targeted wire fraud attacks, Dyre deploys a “SWAT team” within its ranks. The special team carefully maneuvers fraud operations with supporting fraudulent telephone calls and skilled social engineering in the precise language and accent the defrauded entity would expect from their bank. The fraud can be followed up by a DDoS attack to make sure the company is unable to log back into the account, or is busy trying to figure out how to fend it off.

Dyre, unlike most advanced malware of similar grade, is operated by what appears to be a very organized group. The overall botnet is divided into sections, campaigns are marked by the date they are launched, and regions are split into a number of different malware builds.

A small number of “Workers” appear to be dedicated to each zone in order to maximize profits from each captured account.

Dyre Wolf – Flow of Events of Targeted Wire Fraud Attacks

The “workers” that operate daily to perpetrate Dyre fraud are on shift Monday through Friday, from morning to evening according to U.S. time zones. Weekends are often a downtime.

On top of day to day wire fraud attacks, Dyre evidently also has a criminal “SWAT team” which is dedicated to big time fraud: corporate bank accounts and extremely high value transfers. We are talking about one-time transfers that can start at $500,000, but can go up to $1.5 million at one time. Because these large one-time fraud attacks occur amidst other smaller campaigns, require highly specialized capabilities and real-time special attention, we believe there is a clear separation of duties within attack teams.

This Dyre “SWAT team” is likely the faction that’s behind Dyre Wolf-type attacks. In these specific and targeted heists, Dyre goes after the bank’s largest accounts, defrauding companies that move big money for goods or services. Think pharmaceuticals, oil & gas, manufacturers – organizations that do business overseas as part of their routine and normally pay large sums in SWIFT transfers to countries like China.

This is definitely not what we see with commercial malware like Zeus, in every variation of it, nor with shared code like Bugat and Dridex, or even advanced leaked codes like Tinba and Neverquest.

Location-wise, the Dyre teams are likely located in the Ukraine and Russia, based on the working hours pattern and time zone (UTC+2, UTC+3) and on the fact that, as reported by Symantec, over 80 percent of all Dyre servers come through Russian and Ukrainian IP addresses.

What Makes Dyre Stand Out?

Although Dyre started out simpler in terms of malware capabilities, it is now a highly potent information stealer and browser injection tool. IBM Security X-Force researchers see this malware project evolving incessantly. The executable file is constantly upgraded in small bits, sometimes literally every week. Configurations are adapted to the region attacked, mostly EU and U.S.

Dyre’s developers are keeping on top of the project with encryption and evasion layers, anti-research features, new anti-sandbox tricks, all of which are developed and upgraded in a quest to keep Dyre out of sight. Ultimately, the purpose is to make sure this malware continues to produce the massive amounts of stolen cash that it harvests for its operators.

Dyre’s Real Time Injection Scheme

Dyre’s power lies in its ability to manipulate the way the Internet browser works, on the fly and very selectively according to the bank it is targeting.

In its earlier days, Dyre’s operators took on the painstaking task of sending victims to fake web pages that they prepared in advance. To do that, they literally replicated the banks’ login and post login web pages, which resembled what pharming attacks try to do. They kept the SSL connection alive with the bank, only to make it appear legitimate to the user and to security tools the banks may have running, showing that the actual communication is still happening securely.

That method must have been very time-intensive because it has since changed into a browser injection implementation. What sets Dyre apart is the fact that the configuration of these injections is not saved locally on the infected PC, and then used as needed by the malware. Rather, Dyre injections are dictated by its webinject server, in real time, dynamically, and in a selective manner according to each bank URL accessed.

This method enables Dyre to manipulate the page displayed to the victim in a more controlled manner, and also keeps all its configuration schemes as concealed as possible from the prying eyes of security professionals.

Recent findings published about Dyre’s tactics came from researcher Bryan Campbell, lead threat intelligence analyst at the Fujitsu SOC, who blogged about the malware using exploited routers to freeload its communications with the botnet. In an online chat I had with Campbell, we theorized why Dyre would do this. The answer seems simple: Dyre has found a simple way to take over these routers and run through them as an added layer of traffic obfuscation for its already intricate communications schemes.

According to its configuration, Dyre operates a dedicated server for the webinjection traffic, and separate ones for the C&C and data exfiltration. To keep its loot confidential and stay away from blacklists, Dyre uses I2P to anonymize its connections. As fallback mechanism, Dyre relies on a Domain Generation Algorithm (DGA) under the hood, to make sure its bots always go through a resource that changes dynamically.

Threat Status

In terms of Dyre’s proliferation in the past month, IBM data shows that Dyre is ranked second right after Neverquest, which is a widely used commercial malware. It is interesting that Dyre, the privately owned Trojan, is the second most prolific Trojan in cybercrime attacks.

Top Ten Most Prolific Advanced Malware in Past 30 Days (IBM Security Data)

Dyre infection campaign trends show the malware’s activity in cyclical peaks that are very typical to the way the gang spreads this malware to new machines and devices.

According to Dyre’s internal campaign nomenclature, where campaign IDs carry the month and day on which they were launched, new spam blasts are launched two to three times a week, in different countries.

Figure 3 shows Dyre’s infection trend in Spain since the launch of the new configuration that’s geared to attack Spanish banks.

Dyre – Cyclical Infection Trends in the Past Month (IBM Security Data)

What’s Next?

Based on other Dyre campaigns that IBM Security X-Force is familiar with, we expect to see Dyre give special attention to the Spanish territory. Typically, widespread infection campaigns via malware-laden emails deliver Dyre’s loader – the Upatre downloader. The most common spam ploys that Dyre uses are tax notifications, invoices, or fake parcel notices to lure users into opening the attachments and unknowingly launching Upatre, which then fetches and runs Dyre. The campaigns are bound to raise the infection rates in the country and result in an increase in fraudulent transactions.

Our experts recommend that banks alert their customers and refresh the online banking security sections on their websites. Banks should ask customers to report suspicious emails to their abuse reporting mailboxes and work closely with their anti-fraud provider to lower risks as much as possible.

IBM Security’s Trusteer and Emergency Response Services have both worked with customers to study and stop Dyre Wolf attacks and can be of help to banks that wish to learn more about this high-risk threat.

Read the complete report: Inside the Dyre Wolf malware campaign

Share this Article:
Limor Kessem

Executive Security Advisor, IBM

Limor Kessem is one of the top cyber intelligence experts at IBM Security. She is a seasoned security advocate, public speaker, and a regular blogger on the cutting-edge IBM Security Intelligence blog. Limor comes to IBM from organizations like RSA Security, where she spent 5 years as part of the RSA research labs and drove the FraudAction blog on RSA's Speaking of Security. She also served as the Marketing Director of Big Data analytics startup ThetaRay, where she created the company's cybersecurity thought leadership. Limor is considered an authority on emerging cybercrime threats. She participated as a highly appreciated speaker on live InfraGard New York webcasts (an FBI collaboration), spoke in RSA events worldwide, conducts live webinars on all things fraud and cybercrime, and writes a large variety of threat intelligence  publications. With her unique position at the intersection of multiple research teams at IBM, and her fingers on the pulse of current day threats, Limor covers the full spectrum of trends affecting consumers, corporations, and the industry as a whole. On the social side, Limor tweets security items as @iCyberFighter and is an avid Brazilian Jiu Jitsu fighter.