pesquisadores de segurança da Proofpoint recentemente descoberto novas campanhas DanaBot. O malware tem sido adotado por atores de ameaças voltadas para a Europa e América do Norte. alvos anteriores incluíram organizações australianas. atualmente, DanaBot é contra organizações financeiras nos Estados Unidos.
Campanhas DanaBot também foram detectadas por pesquisadores da ESET contra países como a Polônia, Itália, Alemanha, e áustria. No final de setembro, um ator de ameaça que normalmente tem como alvo os Estados Unidos com campanhas diárias de distribuição do cavalo de Troia Panda banking e passou a fornecer DanaBot por um dia, Prova revelada.
Em setembro 26, Os pesquisadores da Proofpoint observaram uma campanha com centenas de milhares de mensagens de e-mail destinadas a destinatários dos EUA. Os e-mails usavam uma isca eFax e continham um URL com link para o download de um documento contendo macros maliciosas. As macros, se habilitado pelo usuário, executou o malware Hancitor embutido, qual, por sua vez, recebeu tarefas para baixar duas versões do ladrão Pony e do malware bancário DanaBot.
Mais sobre DanaBot
O Trojan DanaBot foi detectado pela primeira vez em maio 2018. Como aparece, as amostras continuam a ser espalhadas para usuários em todo o mundo. Os invasores continuam a usar várias estratégias para espalhá-lo.
Uma das principais técnicas de distribuição tem sido o uso de mensagens de e-mail SPAM. São utilizadas técnicas de engenharia social para projetar os e-mails com elementos retirados de empresas famosas. Isso pode confundir os usuários, fazendo-os pensar que receberam uma notificação legítima ou um link de redefinição de senha. Ao interagir com os elementos, os usuários podem baixar e executar o arquivo DanaBot Trojan diretamente ou ser solicitados a seguir "instruções" que levarão à sua instalação.
Descobriu-se que o DanaBot contém um mecanismo modular que pode ser personalizado de acordo com os objetivos propostos. Segue um padrão de infecção em vários estágios que começa com a infecção inicial. Uma série de scripts é chamada e baixa o motor principal.
Uma das primeiras ações realizadas é o início de um componente de coleta de informações que é usado para coletar dados pessoais dos sistemas infectados.
Os pesquisadores determinaram que o DanaBot é composto de três componentes:
- Carregador: baixa e carrega o componente principal
- Componente principal: Transferências, configura, e carrega módulos
- módulos: várias funcionalidades de malware
O malware também inclui uma quantidade significativa de código lixo, incluindo instruções extras, declarações condicionais, e loops, Proofpoint disse. Quando combinado com o uso de Delphi, esses recursos prejudicam drasticamente a engenharia reversa. Em cima disso, DanaBot também é projetado para hash de função de API do Windows e strings criptografadas para impedir analistas e ferramentas automatizadas de descobrirem facilmente o verdadeiro propósito do código.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: