Proofpointのセキュリティ研究者は最近新しいDanaBotキャンペーンを発見しました. このマルウェアは、ヨーロッパと北アメリカを標的とする脅威アクターによって採用されました. 以前のターゲットにはオーストラリアの組織が含まれていました. 現在, DanaBotは米国の金融機関に対して設定されています.
DanaBotキャンペーンは、ポーランドなどの国に対するESETの研究者によっても検出されています, イタリア, ドイツ, とオーストリア. 9月末に, パンダバンキング型トロイの木馬を配布する毎日のキャンペーンで通常米国を標的とする脅威アクターは、1日DanaBotの配信に切り替えました, Proofpointが明らかに.
9月に 26, Proofpointの研究者は、米国の受信者を対象とした数十万の電子メールメッセージを含むキャンペーンを観察しました. 電子メールはeFaxルアーを使用し、悪意のあるマクロを含むドキュメントのダウンロードにリンクするURLが含まれていました. マクロ, ユーザーが有効にした場合, 埋め込まれたHancitorマルウェアを実行しました, どれの, 順番に, 2つのバージョンのPonyスティーラーとDanaBotバンキングマルウェアをダウンロードするタスクを受け取りました.
DanaBotの詳細
DanaBotトロイの木馬は5月に最初に検出されました 2018. 表示どおり, サンプルは世界中のユーザーに広まり続けています. 攻撃者はそれを広めるためにさまざまな戦略を使い続けます.
主な配布手法の1つは、SPAM電子メールメッセージの使用です。. 有名企業から取得した要素を使用してメールを設計するソーシャルエンジニアリング手法が使用されます. これにより、ユーザーは正当な通知またはパスワードリセットリンクを受信したと誤解する可能性があります。. 要素を操作すると、ユーザーはDanaBotトロイの木馬ファイルを直接ダウンロードして実行するか、最終的にインストールにつながる「指示」に従うように求められます。.
DanaBotには、提案されたターゲットに応じてカスタマイズできるモジュラーエンジンが含まれていることが判明しています。. それは、最初の感染から始まる多段階の感染パターンに従います. メインエンジンをダウンロードする一連のスクリプトが呼び出されます.
実行される最初のアクションの1つは、感染したシステムから個人データを収集するために使用される情報収集コンポーネントの開始です。.
研究者は、DanaBotが3つのコンポーネントで構成されていることを確認しました:
- ローダ: 主要コンポーネントをダウンロードしてロードします
- 主成分: ダウンロード, 構成します, モジュールをロードします
- モジュール: さまざまなマルウェア機能
このマルウェアには、追加の指示を含む大量のジャンクコードも含まれています, 条件文, とループ, Proofpoint 言った. Delphiの使用と組み合わせた場合, これらの機能は、リバースエンジニアリングを劇的に損ないます. その上に, DanaBotは、Windows API関数のハッシュと暗号化された文字列を使用して、アナリストや自動化ツールがコードの真の目的を簡単に発見できないようにすることもできます。.