Beveiliging onderzoekers van Proofpoint recent ontdekt nieuwe DanaBot campagnes. De malware is door bedreiging acteurs richten op Europa en Noord-Amerika aangenomen. Vorige doelstellingen opgenomen Australische organisaties. Momenteel, DanaBot is ingesteld tegen financiële instellingen in de Verenigde Staten.
DanaBot campagnes zijn ook gedetecteerd door ESET onderzoekers tegen landen zoals Polen, Italië, Duitsland, en Oostenrijk. Aan het einde van september, een bedreiging acteur die doorgaans gericht op de Verenigde Staten met de dagelijkse campagnes verdelen van de Panda banking Trojan overgestapt op het leveren van DanaBot voor een dag, Proofpoint onthuld.
In september 26, Proofpoint onderzoekers zagen een campagne met honderdduizenden e-mails gericht US ontvangers. De e-mails gebruikt een eFax lokken en bevatte een URL te koppelen aan het downloaden van een document met kwaadaardige macro's. de macro's, indien ingeschakeld door de gebruiker, voerde de ingebedde Hancitor malware, die, beurtelings, ontvangen taken aan twee versies van Pony stealer en de DanaBot banking malware te downloaden.
Meer over DanaBot
De DanaBot Trojan werd voor het eerst ontdekt mei 2018. Zoals blijkt, monsters verder worden verspreid naar gebruikers wereldwijd. Aanvallers blijven verschillende strategieën gebruiken om het te verspreiden.
Een van de belangrijkste distributie technieken is het gebruik van SPAM e-mailberichten geweest. Social engineering technieken worden gebruikt die de e-mails met elementen uit bekende bedrijven te ontwerpen. Dit kan verwarrend zijn voor gebruikers te laten denken dat ze een legitieme kennisgeving of een wachtwoord te resetten koppeling hebben ontvangen. Bij interactie met de elementen die de gebruikers kunnen downloaden en direct uitvoeren van het DanaBot Trojan bestand of worden gevraagd in de volgende “instructies” die uiteindelijk zal leiden tot de installatie.
DanaBot is gebleken dat een modulaire motor die kan worden aangepast aan de voorgestelde doelen bevatten. Hieruit volgt een meertraps infectie patroon dat begint met de eerste infectie. Een reeks van scripts worden genoemd waarop de hoofdmotor downloadt.
Een van de eerste acties die worden uitgevoerd is de start van het verzamelen van informatie component die wordt gebruikt om persoonlijke gegevens te oogsten van de geïnfecteerde systemen.
Onderzoekers vastgesteld dat DanaBot uit drie componenten:
- lader: downloads en ladingen hoofdbestanddeel
- Belangrijkste onderdeel: downloads, configureert, en ladingen modules
- Modules: verschillende malware-functionaliteit
De malware bevat ook een aanzienlijke hoeveelheid ongewenste code inclusief extra instructies, Voorwaardelijke stellingen, en loops, Proofpoint zei. In combinatie met het gebruik van Delphi, deze functies dramatisch verslechteren reverse engineering. Daarbovenop, DanaBot is ook ontworpen om Windows API-functie hashing en gecodeerd strings analisten dwarsbomen en geautomatiseerde gereedschappen uit makkelijk de code's ware doel het ontdekken.