Всего за несколько месяцев своего существования троян-банкер DanaBot, который появился в мае 2018 года в Австралии, существенно расширил географию, распространяясь, подобно эпидемии. Вначале он «перепахал» Польшу, затем занялся Италией, Германией, Австрией и Украиной. Но все это был Старый Свет, не такой привлекательный для финансово-похитительных подвигов, ведь, как известно, все деньги сосредоточены по другую сторону вожделенной Атлантики.
И вот, с 26 сентября, как сообщают исследователи Proofpoint, злоумышленники пересекли океан и начали атаковать пользователей в Северной Америке, причем стартовали сразу с масштабной кампании из сотен тысяч спам-писем. На тот момент, когда специалисты обратили внимание на Danabot, он еще только разрабатывался, впрочем, его основная архитектура и принципы распространения не изменились. Этот модульный троян написан на Delphi, он внедряет в веб-страницы куски кода с вредоносным содержанием и крадет информацию с сайтов банков.
Как сообщают эксперты, в основе Danabot лежит загрузчик, который скачивает зашифрованный DLL-файл. Все остальные функции реализуются через четыре подключаемых плагина:
1) VNC (удаленный доступ к рабочему столу);
2) Stealer (кража паролей из браузеров, FTP- и VPN-клиентов, чатов и почты);
3) Sniffer (внедрение вредоносного скрипта в браузер);
4) Подключение через прокси-сервер.
Также DanaBot способен делать скриншоты, кейлоггить и сливать это все на командный сервер. Основной метод распространения трояна — сугубо традиционные электронные письма, содержащие вредоносные вложения в документах Word.
Любопытно, что если в Европе хакеры маскировали письма под фальшивые счета от различных компаний, то в США они стали подделывать спам под уведомления от сервиса цифровой отправки факсов Efax.
По мнению ИБ-исследователя TomasP, атака нацелена в первую очередь на крупнейшие американские банки Wells Fargo, Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Эксперты из Proofpoint, со своей стороны, полагают, что авторы сдают троянца сдают в аренду, и уже выявили девять основных операторов, использующих DanaBot. У каждого из них есть свой «партнерский идентификатор» (affiliate ID).
Каждый из «партнеров» работает в своем регионе и использует разные методы доставки трояна, в том числе веб-инъекции, и спам-рассылки, и набор эксплойтов Fallout. Глобальное же управление ведется c основного C&C-сервера.
