i ricercatori di sicurezza di Proofpoint recentemente scoperto nuove campagne DanaBot. Il malware è stato adottato da attori delle minacce rivolte Europa e Nord America. obiettivi precedenti inclusi organizzazioni australiane. Attualmente, DanaBot è impostato contro le organizzazioni finanziarie negli Stati Uniti.
campagne DanaBot sono stati rilevati anche da ricercatori ESET contro paesi come la Polonia, Italia, Germania, e Austria. Alla fine del mese di settembre, un attore di minaccia che si rivolge in genere gli Stati Uniti con le campagne quotidiane distribuzione del Panda banking Trojan commutata a fornire DanaBot per un giorno, Proofpoint rivelato.
A settembre 26, i ricercatori hanno osservato Proofpoint una campagna con centinaia di migliaia di messaggi e-mail mirati destinatari degli Stati Uniti. Le e-mail utilizzato un richiamo eFax e conteneva un URL che collega al download di un documento contenente le macro dannosi. le macro, se abilitato dall'utente, eseguito il malware incorporato Hancitor, quale, a sua volta, compiti ricevuti per scaricare due versioni di Pony ladro e il malware DanaBot bancaria.
Di più su DanaBot
La DanaBot Trojan è stato rilevato maggio 2018. Come appare, campioni continuano ad essere diffuso in tutto il mondo gli utenti. Gli aggressori continuano ad utilizzare diverse strategie al fine di diffonderla.
Una delle tecniche di distribuzione primario è stato l'uso di messaggi e-mail di SPAM. tecniche di ingegneria sociale sono utilizzati che disegnano i messaggi di posta elettronica con elementi tratti da famose aziende. Questo può confondere gli utenti a pensare che hanno ricevuto una notifica legittimo o un link di reimpostazione della password. Al momento l'interazione con gli elementi gli utenti possono scaricare ed eseguire direttamente il file DanaBot trojan o essere spinto nelle seguenti “istruzioni” che alla fine porterà alla sua installazione.
DanaBot è stato trovato per contenere un motore modulare che può essere personalizzato secondo gli obiettivi proposti. Ne consegue un pattern infezione multistadio che inizia con l'infezione iniziale. Una serie di script sono chiamati, che scarica il motore principale.
Una delle prime azioni eseguite è l'inizio di un componente di raccolta di informazioni che viene utilizzato per raccogliere dati personali dai sistemi infetti.
I ricercatori hanno determinato che DanaBot è composto da tre componenti:
- caricatore: download e carichi dei componenti principali
- Componente principale: Scarica, configura, e carica i moduli
- Moduli: varie funzionalità del malware
Il malware include anche una notevole quantità di codice spazzatura comprese le istruzioni in più, istruzioni condizionali, e loop, Proofpoint disse. In combinazione con l'uso di Delphi, queste caratteristiche compromettono drammaticamente reverse engineering. Per di più, DanaBot è progettato anche per la funzione API di Windows hashing e stringhe per contrastare gli analisti criptati e strumenti automatizzati da scoprire facilmente vero scopo del codice di.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: