DanaBot Banking Trojan fue descubierto a principios de este año por Proofpoint, dirigido a usuarios en Australia a través de campañas continuas de correo electrónico malicioso, luego se expande a Polonia, Italia, Alemania y Austria.
Es un troyano bancario desarrollado en lenguaje Delphi, tiene una arquitectura de múltiples etapas y multicomponentes, la mayoría de sus funcionalidades depende de los complementos que se le agreguen. Los actores de amenazas detrás de DanaBot Banking Malware continuamente le agregan nuevas características.
Con esta nueva campaña activa en curso DanaBot dirigida a los usuarios en Polonia, según la investigación de ESET, esta "nueva campaña es la campaña más grande y más activa hasta la fecha".
La campaña de correo electrónico malicioso contiene facturas provenientes de varias compañías, la campaña usa una combinación de scripts de PowerShell y VBS, a continuación se muestran los complementos que se encuentran con la nueva campaña.
- Plug-in de VNC: para establecer una conexión remota.
- Plug-in Sniffer: para inyectar scripts maliciosos al navegador de la víctima, generalmente cuando visita sitios de banca por Internet.
- Stealer plug-in: recopila credenciales (navegadores, clientes FTP, clientes VPN, programas de chat y correo electrónico, programas de póker, etc.).
- Complemento de TOR: instala un proxy TOR y permite el acceso a sitios web de .onion.
Con la campaña anterior de agosto, los desarrolladores de DanaBot agregaron TOR plug-in para crear un canal de comunicación encubierto y con esta nueva campaña de septiembre los actores de la amenaza detrás del complemento DanaBot VNC que permite el acceso remoto a la máquina de la víctima.
Los investigadores dijeron que a partir de las campañas más pequeñas de septiembre dirigidas a los bancos en Italia, Alemania y Austria, el 8 de septiembre de 2018, ESET descubrió una nueva campaña de DanaBot dirigida a usuarios ucranianos.
De acuerdo con los datos de telemetría, la tasa de detección de Danabot aumentó entre el mes de agosto y septiembre.
DanaBot Banking TrojanESET publicó una lista detallada de dominios dirigidos, software dirigido, carteras de criptomonedas segmentadas, script de configuración, IoC, hashes y complementos utilizados.
Fecha actualización el 2021-09-24. Fecha publicación el 2018-09-24. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: gbhackers