История троянца DanaBot, который явно хочет стать чем-то большим, чем просто одним из тысяч зловредов, продолжает развиваться. Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Ее отличие от предыдущих в том, что теперь вирус всерьез научился шифровать обмен данными с управляющим сервером, а также ускорил процесс закрепления на пораженной машине.
АКБ напоминает, что впервые внимание специалистов по кибербезопасности Danabot привлек в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. Его функционал довольно широк: в набор входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.
Новая, улучшенная версия Danabot, обогащена многоэтапным шифрованием, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером. Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется. Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отсылается для сохранения. Именно ключ № 3 используется для передачи дальнейших команд клиенту. При этом при хранении ключа № 3 сервер защищает его с помощью ключа № 1.
Внушительная защита данных это еще не все. Создатели нового поколения Danabot также значительно доработали его архитектуру, обновив загрузчик. Предыдущая версия доставляла основной модуль, который затем скачивал дополнительные плагины и конфигурационные данные. Теперь же все компоненты распаковываются одновременно. Новый загрузчик при этом добавляет себя в список служб, закрепляясь на компьютере.
Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку.
АКБ ранее посвящало статью Danabot , одному из самых стремительно эволюционирующих троянов. Всего за несколько месяцев своего существования троян-банкер DanaBot, который появился в мае 2018 года в Австралии, существенно расширил географию, распространяясь, подобно эпидемии. Любопытно, что если в Европе хакеры маскировали письма под фальшивые счета от различных компаний, то в США они стали подделывать спам под уведомления от сервиса цифровой отправки факсов Efax.
По мнению ИБ-исследователя TomasP, атака была нацелена в первую очередь на крупнейшие американские банки Wells Fargo, Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Эксперты из Proofpoint, со своей стороны, полагают, что авторы сдают троянца сдают в аренду, и уже выявили девять основных операторов, использующих DanaBot. У каждого из них есть свой «партнерский идентификатор» (affiliate ID).
Каждый из «партнеров» работает в своем регионе и использует разные методы доставки трояна, в том числе веб-инъекции, и спам-рассылки, и набор эксплойтов Fallout. Глобальное же управление ведется c основного C&C-сервера.