El troyano bancario modular Danabot se ha actualizado nuevamente con capacidades de envío y recolección de correo electrónico después de haber recibido previamente el soporte de 64 bits y RDP luego de su cambio de destino a objetivos europeos durante septiembre de 2018.
Según lo informado por el equipo de investigación de seguridad de ESET, la nueva versión de Danabot con capacidad para spam puede propagarse a través de correos electrónicos no deseados enviados como respuestas a los mensajes que se encuentran en los buzones ubicados en máquinas comprometidas que ejecutan servicios de correo web basados en Horde, Roundcube y Open-Xchange.
Dada su estructura modular y el afán de sus autores por agregar regularmente nuevos complementos, ESET considera que Danabot ya ha superado el alcance inicial que sus maestros tenían en mente al codificarlo.
El análisis de ESET también reveló el hecho de que Danabot comparte la estructura del script con otras cepas de malware como BackSwap, Tinba o Zeus, una prueba clara de su modularidad que le permite reutilizar scripts de otras familias de malware sin esfuerzo.
Además, se ha observado a Danabot mientras mostraba un comportamiento de cuentagotas, vendiendo otro malware, con un módulo de descarga de GootKit como el mejor ejemplo, insinuando una conexión directa entre los grupos que controlan las dos familias de malware.
Si bien la presencia de la muestra del fraude bancario GootKit Trojan en uno de los servidores C&C de DanaBot puede parecer sorprendente, ESET también fue testigo de que Emotet Trojan distribuyó GootKit durante las campañas de Cyber Monday y Black Friday.
Como se mencionó al principio, después de haber sido actualizado con capacidades de spam, Danabot ahora puede recolectar las direcciones de correo electrónico de los buzones encontrados en máquinas comprometidas y enviar mensajes de spam como respuestas para propagarse a otros posibles destinos.
Danabot, más que Trojan, logrará esta tarea al "inyectar un script malicioso en las páginas web de los servicios de correo web dirigidos una vez que la víctima ingresa, procesa los correos electrónicos de la víctima y envía todas las direcciones de correo electrónico que encuentra a un servidor de C&C", según ESET.
El troyano también es capaz de enviar correos spam firmados.
A continuación, Danabot usará otro script inyectado para comenzar a enviar correo no deseado en segundo plano si encuentra uno de los servicios de correo web que puede controlar, aprovechando las firmas digitales para enviar correos electrónicos firmados para hacer que el correo no deseado se vea legítimo.
En este momento, los maestros de Danabot parecen interesados en los servicios italianos de "correo electrónico certificado", lo que lleva a la idea de que "están enfocados en los correos electrónicos corporativos y de administración pública que tienen más probabilidades de utilizar este servicio de certificación".
Fecha actualización el 2021-12-09. Fecha publicación el 2018-12-09. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: softpedia