От кенгуру до Уолл-стрит: Головокружительная карьера троянца DanaBot

Опубликовано at 13:20
31 0

Всего за несколько месяцев своего существования троян-банкер DanaBot, который появился в мае 2018 года в Австралии, существенно расширил географию, распространяясь, подобно эпидемии. Вначале он «перепахал» Польшу, затем занялся Италией, Германией, Австрией и Украиной. Но все это был Старый Свет, не такой привлекательный для финансово-похитительных подвигов, ведь, как известно, все деньги сосредоточены по другую сторону вожделенной Атлантики.

И вот, с 26 сентября, как сообщают исследователи Proofpoint, злоумышленники пересекли океан и начали атаковать пользователей в Северной Америке, причем стартовали сразу с масштабной кампании из сотен тысяч спам-писем. На тот момент, когда специалисты обратили внимание на Danabot, он еще только разрабатывался, впрочем, его основная архитектура и принципы распространения не изменились. Этот модульный троян написан на Delphi, он внедряет в веб-страницы куски кода с вредоносным содержанием и крадет информацию с сайтов банков.

Как сообщают эксперты, в основе Danabot лежит загрузчик, который скачивает зашифрованный DLL-файл. Все остальные функции реализуются через четыре подключаемых плагина:

1) VNC (удаленный доступ к рабочему столу);
2) Stealer (кража паролей из браузеров, FTP- и VPN-клиентов, чатов и почты);
3) Sniffer (внедрение вредоносного скрипта в браузер);
4) Подключение через прокси-сервер.

Также DanaBot способен делать скриншоты, кейлоггить и сливать это все на командный сервер. Основной метод распространения трояна — сугубо традиционные электронные письма, содержащие вредоносные вложения в документах Word.
Любопытно, что если в Европе хакеры маскировали письма под фальшивые счета от различных компаний, то в США они стали подделывать спам под уведомления от сервиса цифровой отправки факсов Efax.

По мнению ИБ-исследователя TomasP, атака нацелена в первую очередь на крупнейшие американские банки Wells Fargo, Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Эксперты из Proofpoint, со своей стороны, полагают, что авторы сдают троянца сдают в аренду, и уже выявили девять основных операторов, использующих DanaBot. У каждого из них есть свой «партнерский идентификатор» (affiliate ID).

Каждый из «партнеров» работает в своем регионе и использует разные методы доставки трояна, в том числе веб-инъекции, и спам-рассылки, и набор эксплойтов Fallout. Глобальное же управление ведется c основного C&C-сервера.

Подписываемся, следим @CyberAgency

Related Post

«Может ли антивирус сканировать файлы на наличие информации о вашей кредитной карте? Да, он может сканировать всю информацию вашего компьютера», — Евгений Лифшиц, руководитель Агентства Кибербезопасности

Опубликовано - 07.10.2017 0
В сентябре Сенат проголосовал за запрет на использование «Антивируса Касперского» американскими госструктурами из-за подозрений в тесных связях с российскими спецслужбами.…

Clarksons отказался платить вымогателям

Опубликовано - 01.12.2017 0
Британская компания Clarksons, считающаяся крупнейшей в мире судовых брокеров, подтвердила, что стала жертвой хакеров, завладевших важной конфиденциальной информацией. Компания полагает,…

Добавить комментарий