Una nueva campaña de correo electrónico de suplantación de identidad dirigida a clientes australianos con una plantilla falsa estándar de factura HTML tipo MYOB que contiene enlaces FTP apuntando a servidores comprometidos
Con esta nueva campaña, los atacantes utilizaron enlaces FTP en lugar de los habituales enlaces HTTP y la mayoría de los sitios FTP vinculados con los dominios australianos.
Los enlaces FTP apuntan a un archivo zip que contiene un JavaScript que descarga el software DanaBot de carga final.
Los investigadores de Trustwave Fahim Abbasi y Diana Lopera detectaron la estafa de phishing dirigida a clientes australianos de MYOB.
La campaña de correo electrónico de phishing contiene una factura falsa de MYOB que solicita a los clientes realizar el pago y, una vez que el cliente hace clic en Ver factura, descarga el archivo comprimido del servidor comprometido.
El archivo comprimido de descarga contiene un programa de descarga de JavaScript (JS) que requiere que los usuarios lo ejecuten. Una vez ejecutado, lanza un comando de PowerShell que descarga el último troyano de banca multi-componentes de DanaBot.
DanaBot Banking Trojan contiene cuatro módulos dll - VNC, dll - Stealer, dll - Sniffer y dll - TOR que permiten extraer los detalles confidenciales de los clientes, establecer un canal de comunicación encubierto y controlar un host remoto a través de VNC.
Según los investigadores de Trustwave, "la infraestructura que admite el malware está diseñada para ser flexible, mientras que el malware está diseñado para ser modular, con una funcionalidad que se extiende a través de múltiples componentes fuertemente encriptados".
Puede encontrar el informe de análisis y los códigos de acceso en la publicación de blog de Trustwave.
Fecha actualización el 2021-07-17. Fecha publicación el 2018-07-17. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: gbhackers