Sikkerhed forskere på Proofpoint nylig afsløret nye DanaBot kampagner. Den malware er blevet vedtaget af trussel aktører rettet mod Europa og Nordamerika. Tidligere mål omfattede australske organisationer. I øjeblikket, DanaBot er sat mod finansielle organisationer i USA.
DanaBot kampagner er også blevet opdaget af ESET forskere mod lande som Polen, Italien, Tyskland, og Østrig. Ved udgangen af september, en trussel skuespiller, der typisk er rettet mod USA med daglige kampagner distribuere Panda bank Trojan skiftede til at levere DanaBot for en dag, Proofpoint afsløret.
Den september 26, Proofpoint forskere observeret en kampagne med hundreder af tusinder af e-mails rettet mod amerikanske modtagere. E-mails bruges en efax lokke og indeholdt en URL linker til download af et dokument, der indeholder ondsindede makroer. de makroer, hvis den er aktiveret af brugeren, henrettet den integrerede Hancitor malware, hvilken, på tur, modtagne opgaver at hente to versioner af Pony stjæler og DanaBot bank malware.
Mere om DanaBot
Den DanaBot Trojan blev først påvist i maj 2018. Som det fremgår, prøver fortsat spredes til brugere over hele verden. Angribere fortsætte med at bruge forskellige strategier for at sprede det.
En af de primære distributionsteknikker har været anvendelsen af SPAM e-mails. Social engineering teknikker anvendes som designe e-mails med elementer fra kendte virksomheder. Dette kan forvirre brugerne til at tro, at de har modtaget en legitim meddelelse eller en adgangskode link til nulstilling. Ved at interagere med de elementer brugerne kan downloade og eksekvere DanaBot trojanske fil direkte eller blive bedt om i følgende ”instruktioner”, der i sidste ende vil føre til sin installation.
DanaBot har vist sig at indeholde et modulopbygget motor, der kan tilpasses i henhold til de foreslåede mål. Det følger en flertrins infektion mønster, der begynder med den oprindelige infektion. En serie af scripts kaldes som henter hovedmotoren.
En af de første handlinger, der udføres, er det starten på en informationsindsamling komponent, som bruges til at høste personlige oplysninger fra de inficerede systemer.
Forskere bestemt, at DanaBot er sammensat af tre komponenter:
- Loader: downloads og belastninger vigtigste komponent
- Vigtigste komponent: downloads, konfigurerer, og belastninger moduler
- Moduler: diverse malware funktionalitet
Den malware omfatter også en betydelig mængde af junk kode herunder ekstra instruktioner, betingede udsagn, og loops, Proofpoint sagde. Når kombineret med anvendelsen af Delphi, disse funktioner dramatisk forringe reverse engineering. Oven i købet, DanaBot er også designet til Windows API funktion hashing og krypteret strenge at forpurre analytikere og automatiserede værktøjer fra nemt at opdage koden sande formål.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: