Los investigadores de seguridad descubrieron recientemente en Proofpoint nuevas campañas DanaBot. El malware ha sido adoptado por los agentes de amenaza enfocadas a Europa y América del Norte. objetivos anteriores incluyen organizaciones australianas. Actualmente, DanaBot se sitúa en los organismos financieros en los Estados Unidos.
campañas DanaBot también han sido detectados por los investigadores de ESET contra países como Polonia, Italia, Alemania, y Austria. A finales de septiembre, un actor de amenaza que normalmente se dirige a los Estados Unidos con campañas diarias distribuir el troyano bancario Panda cambió a la entrega de DanaBot por un día, Proofpoint revelado.
En septiembre 26, Proofpoint investigadores observaron una campaña con cientos de miles de mensajes de correo electrónico dirigidos receptores de EE.UU.. Los correos electrónicos utilizan un señuelo de eFax y contenían una URL de enlace a la descarga de un documento que contiene macros maliciosas. las macros, si está activado por el usuario, ejecutado el malware incrustado Hancitor, cual, en turno, tareas recibidas para descargar dos versiones de Pony ladrón y el malware bancario DanaBot.
Más sobre DanaBot
El DanaBot de Troya se detectó primera vez en mayo 2018. Como aparece, muestras siguen siendo extendido a los usuarios en todo el mundo. Los atacantes siguen utilizando diversas estrategias con el fin de difundirlo.
Una de las técnicas de distribución primaria ha sido el uso de mensajes de correo electrónico SPAM. técnicas de ingeniería social se utilizan los mensajes de correo electrónico que el diseño con elementos tomados de compañías famosas. Esto puede confundir a los usuarios haciéndoles creer que han recibido una notificación legítima o un enlace de restablecimiento de contraseña. Al interactuar con los elementos de los usuarios pueden descargar y ejecutar el archivo de Troya DanaBot directa o pedirá al siguiente “instrucciones” que en última instancia conducir a su instalación.
DanaBot se ha encontrado que contienen un motor modular que se puede personalizar de acuerdo con los objetivos propuestos. De ello se sigue un patrón de infección de varias etapas que comienza con la infección inicial. Una serie de secuencias de comandos se llama que descarga el motor principal.
Una de las primeras acciones realizadas es el comienzo de un componente de recopilación de información que se utiliza para recoger datos personales de los sistemas infectados.
Los investigadores determinaron que DanaBot se compone de tres componentes:
- Cargador: descargas y cargas de componentes principales
- Componente principal: descargas, configura, y los módulos de cargas
- Módulos: diversos funcionalidad de malware
El malware también incluye una cantidad significativa de código basura que incluye instrucciones adicionales, declaraciones condicionales, y bucles, Proofpoint dijo. Cuando se combina con el uso de Delphi, estas características afectan drásticamente la ingeniería inversa. Además de eso, DanaBot también está diseñado para hash función de la API de Windows y cuerdas para frustrar los analistas encriptada y herramientas automatizadas de descubrir fácilmente el verdadero propósito del código.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: