Banking DanaBot ataca a varios paises
El nuevo malware bancario llamado DanaBot ataca activamente a la organización de varios condados con una sofisticada técnica de evasión y actúa como un Stealer y tiene la capacidad de obtener acceso remoto desde la máquina de las víctimas seleccionadas.
DanaBot contuvo algunas técnicas de evasión, como extensas funciones de análisis y dirigidas a varios países, entre ellos Polonia, Italia, Alemania y Austria, Australia y, principalmente, a organizaciones de orientación en los EE.UU.
DanaBot es un malware bancario escrito en el lenguaje de programación Delphi y también tiene algunos códigos basura con instrucciones adicionales, sentencias condicionales y bucles.
Para dificultar el análisis del código por analistas y herramientas automáticas, utiliza la función de API de Windows y las cadenas cifradas.
También este malware está en desarrollo activo y sigue agregando nuevos futuros, expansión geográfica y agrega otras nuevas actividades maliciosas.
¿Cómo funciona la infección de DanaBot Malware?
El nivel inicial de infección comenzó con una campaña de correo electrónico no deseado que atrae a eFax junto con un enlace de descarga al documento malicioso que contiene macros maliciosas.
Una vez que el usuario habilita las macros maliciosas, deja caer la carga útil de Hancitor como un gotero inicial.
Más tarde, deja caer el DanaBot sobre el malware bancario una vez que las víctimas ejecutan el gotero inicial y también descarga las dos versiones de Pony Stealer.
Según Proofpoint Research, DanaBot se compone de tres componentes:
- Loader: descarga y carga el componente principal.
- Componente principal: descarga, configura y carga módulos.
- Módulos: varias funcionalidades de malware
En este caso, tanto el componente principal como el cargador contienen una lista de 10 direcciones IP de C&C y el cargador utilizó la comunicación del servidor de C&C basada en HTTP.
El atacante utiliza varios comandos para realizar diversas actividades maliciosas en el objetivo comprometido.
Los autores de malware siguen cambiando las listas de servidores de C&C aproximadamente cada hora y los investigadores descargaron el componente principal en intervalos de una hora durante 24 horas y analizaron las listas de C&C.
Más tarde, encontraron 240 direcciones IP (disponibles en Github [13]) con 194 (80%) de ellas únicas.
Además, los investigadores creen que "DanaBot puede configurarse como un sistema de" malware como servicio "en el que un actor de amenazas controla un panel global de C&C y un sistema de infraestructura y luego vende acceso a otros actores de amenazas (afiliados) que distribuyen y apuntan a DanaBot como ellos ven en forma