malware_0-100257425-primary.idge (1) users are being targeted by a new version of a computer Trojan that has typically attacked online banking customers until now.

The malware threat is called Dyre or Dyreza and came to light in June. Like most online banking Trojans, it hooks the browser process to capture log-in credentials entered by users on websites belonging to financial institutions.

The original Dyre version found in June by researchers from PhishMe and CSIS Security Group targeted the sites of Bank of America, NatWest, Citibank, RBS and Ulsterbank. However, it appears the program’s creators have recently added to the list.

“On September 3, 2014, one of our security partners identified that the Dyre malware (also known as Dyreza), which typically targets customers of large, well-known financial institutions, may now also target some Salesforce users,” Salesforce said in a security advisory published on its website.

“We currently have no evidence that any of our customers have been impacted by this, and we are continuing our investigation,” the company said. “If we determine that a customer has been impacted by this malware, we will reach out to them with next steps and further guidance.”

Salesforce advised customers to use the platform’s IP range restriction feature to allow access to accounts only from trusted corporate networks and VPNs. Enabling two-factor authentication via the Salesforce# mobile app and turning on SMS-based identity confirmation for log-in attempts from unknown sources is also recommended.

Dyreza is not the first malware program to target Salesforce. In February, researchers from a security firm called Adallom found a variant of the well-known Zeus Trojan that had been modified to scrape business data from compromised Salesforce accounts.


How does this affect Salesforce users at Stamford?

All business workstations (allocated by STIU) are protected by an enterprise grade Anti-virus + Firewall suite. If you have a valid copy installed on your desktop / laptop, you won’t be affected by this.

However, for those using Salesforce from personal devices are advised to do so with proper protection (legal Anti-virus installed) only. If you’re unsure whether you have a legal AV, please get in touch with the IT Support personnel.

In general, you’re advised NOT TO access the Stamford Salesforce accounts from your personal devices.

Thai version

ผู้ใช้ กำลังตกเป็นเป้าหมายโจมตีของโทรจันเวอร์ชันใหม่ ที่ปกติโจมตีแต่เพียงผู้ใช้ Online Banking คือ Dyre หรือ Dyreza ซึ่งถูกค้นพบเมื่อเดือนมิถุนายนที่ผ่านมา โดยมีเป้าหมาย คือ ขโมยชื่อผู้ใช้และรหัสผ่านของผู้ใช้งาน

เช่นเดียวกับโทรจันบน Online Banking โทรจัน Dyre จะแฝงตัวไปกับโปรเซสของเบราเซอร์เพื่อดักจับข้อมูลชื่อผู้ใช้และรหัสผ่านเมื่อผู้ใช้งานล็อกอินเข้าสู่ระบบของสถาบันการเงิน

Dyre เวอร์ชันแรกถูกค้นพบเมื่อเดือนมิถุนายนโดย PhishMe และ CSIS Security Group ซึ่งมีเป้าหมายเป็น Bank of America, NatWest, Citibank, RBS และ Ulsterbank แต่จากการตรวจสอบล่าสุดนั้น ตาดว่าแฮ็คเกอร์ได้เพิ่ม เข้าไปเป็นเป้าหมายด้วยเรียบร้อย — Salesforce ประกาศเตือนบนเว็บไซต์

“พวกเรายังไม่มีหลักฐานว่าลูกค้าที่ใช้งานอยู่ได้รับผลกระทบไปแล้วหรือไม่ ขณะนี้อยู่ในขั้นตอนรวบรวม และวิเคราะห์ข้อมูล” — Salesforce ให้ข้อมูล

Salesforce แนะนำลูกค้าให้ใช้วิธีจำกัดหมาย IP ที่สามารถเข้าถึงระบบ Salesforce ได้ เช่น เฉพาะวงเครือข่ายในองค์กร หรือ VPN เป็นต้น หรือใช้การพิสูจน์ตัวตนแบบ 2-Factor ผ่านทางแอพพลิเคชัน Salesforce# บนสมาร์ทโฟน เพื่อให้การล็อกอินเข้าใช้งานมีความปลอดภัยมากยิ่งขึ้น