Sicherheitsforscher bei Proofpoint entdeckt vor kurzem neue DanaBot Kampagnen. Die Malware wurde von Bedrohung Akteuren im Europa und Nordamerika angenommen. Zurück Ziele enthalten Australian Organisationen. Zur Zeit, DanaBot wird gegen Finanzorganisationen in den Vereinigten Staaten.
DanaBot Kampagnen werden auch von ESET Forschern gegen Länder wie Polen nachgewiesen worden, Italien, Deutschland, und Österreich. Am Ende September, eine Bedrohung für Schauspieler, die für die Bereitstellung DanaBot für einen Tag typischerweise Ziele geschaltet, um die Vereinigten Staaten mit täglichen Kampagnen des Panda Banking-Trojaner zu verteilen, Proofpoint enthüllt.
Im September 26, Proofpoint Forscher beobachteten eine Kampagne mit Hunderten von Tausenden von E-Mail-Nachrichten-Targeting US Empfängers. Die E-Mails verwendet, um eine eFax locken und enthielten eine URL zum Download eines Dokuments Verknüpfung enthält schädliche Makros. die Makros, wenn vom Benutzer aktiviert, die eingebettete Hancitor ausgeführt Malware, was, im Gegenzug, erhielt Aufgaben zwei Versionen von Pony Stealer und die DanaBot Banking Malware zum Download.
Mehr über DanaBot
Der DanaBot Trojan wurde erstmals im Mai entdeckt 2018. Wie es scheint,, Proben weiterhin weltweit an Benutzer verteilt werden. Angreifer weiterhin verschiedene Strategien nutzen, um sie zu verbreiten.
Einer der wichtigsten Vertriebstechniken hat sich die Verwendung von SPAM-E-Mails gewesen. Social-Engineering-Techniken verwendet werden, die die E-Mails mit Elementen aus bekannten Firmen genommen entwerfen. Dies kann den Benutzer verwirren zu denken, dass sie ein berechtigtes Benachrichtigung oder einen Passwort-Reset-Link erhalten haben,. Bei der Interaktion mit den Elementen der Benutzer kann die DanaBot Trojan-Datei direkt herunterladen und ausführen oder in folgenden „Anweisungen“ aufgefordert werden, die letztlich zu seiner Installation führen werden.
DanaBot wurde einen modularen Motor enthält gefunden, die gemäß den vorgeschlagenen Zielen angepasst werden können. Es folgt ein mehrstufiges Infektion Muster, das mit der ersten Infektion beginnt. Eine Reihe von Skripten sind aufgerufen, die die Hauptmaschine herunterlädt.
Eine der ersten Aktionen ausgeführt ist der Beginn einer Informationserfassungskomponente, die verwendet wird, personenbezogene Daten aus den infizierten Systemen zu ernten.
Die Forscher festgestellt, dass DanaBot aus drei Komponenten zusammengesetzt ist,:
- Ladeprogramm: Downloads und Lasten Hauptkomponente
- Hauptbestandteil: downloads, konfiguriert, und lädt Module
- Module: verschiedene Malware-Funktionalität
Die Malware enthält auch eine erhebliche Menge an Junk-Code einschließlich zusätzlichen Anweisungen, bedingte Anweisungen, und Schleifen, Proofpoint sagte. Wenn bei der Verwendung von Delphi kombiniert, diese Eigenschaften dramatisch Reverse Engineering beeinträchtigen. Hinzu kommt, dass, DanaBot wird auch auf Windows-API-Funktion Hashing entworfen und Strings verschlüsselt Analysten zu vereiteln und automatisierte Tools von leicht den Code des wahren Zweck zu entdecken.