ESET saugumo tyrėjai nustatė naujas jau žinomo trojano „DanaBot“ kampanijas, nukreiptas į Europos šalis: Lenkiją, Italiją, Vokietiją ir Austriją. Naujausi kenkėjo pėdsakai užfiksuoti Ukrainoje.Pirmą kartą modulinis bankininkystės trojanas „DanaBot“ buvo nustatytas šių metų gegužę, atakuojantis Australijos vartotojus per kenksmingų el. laiškų kampanijas.
Netrukus „DanaBot“ buvo užfiksuotas Lenkijoje, kur, pasak saugumo tyrėjų, šio kenkėjo kampanijos tebėra aktyvios ir didžiausios lyginant su kitomis šalimis. Lenkijos vartotojai taip pat atakuojami kenksmingais el. laiškais, kuriuose prisegtos neva tikros sąskaitos, siunčiamos skirtingų kompanijų.
Rugsėjo pradžioje „DanaBot“ buvo nukreiptas į Italijos, Vokietijos ir Austrijos bankus, šįkart kenkėjo kampanijos buvo smulkesnės, tačiau joms pasitelktos tos pačios kenksmingų el. laiškų kampanijos.
„Toks atakos pobūdis yra itin paplitęs – atakuojami domenai, šiuo atveju, atakuojamų bankų darbuotojai gauna el. laiškus, kuriuose raginama atidaryti prisegtus kenksmingus failus. Jei naudojamos el. pašto sistemos praleidžia tokius laiškus ir darbuotojai negeba atpažinti kenksmingos atakos, grėsmė kyla visai organizacijai: užkrėtus vieną kompiuterį, programišiai gali įsilaužti į visos įstaigos tinklą“, – teigia „ESET Lietuva“ IT inžinierius Ramūnas Liubertas.
Pasak ESET tyrėjų, kenkėjas yra parašytas Delphi programavimo kalba ir turi kelių lygių ir skirtingų komponentų architektūrą, didžioji dalis jo funkcijų yra įdiegtos naudojant įskiepius. Skirtingi įskiepiai leidžia „DanaBot“ platinantiems nusikaltėliams nuotoliniu būdu prisijungti ir valdyti užkrėstus kompiuterius, įdiegti kenksmingus „skriptus“ į naršyklę bei lankantis el. bankininkystės puslapiuose, rinkti slaptažodžius ir atlikti kitus veiksmus.
Išsami „DanaBot“ analizė atskleidė, kad trojanas yra nuolat tobulinamas pridedant naujas funkcijas. Visos ESET antivirusinės programos ir saugumo sprendimai atpažįsta kenkėją ir užkerta jam kelią.
Pasak R. Liuberto, tinkama antivirusinė programa tokių atakų atveju padeda apsisaugoti nuo žmogiškojo faktoriaus keliamų rizikų. „Naudojant patikimus saugumo sprendimus sumažinama rizika tapti kenksmingų atakų auka. Kita vertus, tobulėjant kibernetinėms atakoms ir atsirandant naujiems kenkėjams, kibernetinio saugumo mokymai darbuotojams įgauna vis didesnę reikšmę: būtina stiprinti gebėjimus atpažinti įtartinus, potencialią grėsmę keliančius veiksmus“, – komentuoja ESET atstovas.
Saugumo tyrėjai pateikia, kokių programų vykdomuosius failus ir domenus šiuo metu atakuoja trojanas:
Atakuojamos programos Europai skirtose kampanijose:
*electrum*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*
Atakuojamos programos Ukrainai skirtose kampanijose:
*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe**upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*
Atakuojami Italijos domenai:
credem.it
bancaeuro.it
csebo.it
inbank.it
bancopostaimpresaonline.poste.it
bancobpm.it
bancopopolare.it
ubibanca.com
icbpi.it
bnl.it
banking4you.it
bancagenerali.it
ibbweb.tecmarket.it
gruppocarige.it
finecobank.com
gruppocarige.it
popso.it
bpergroup.net
credit-agricole.it
cariparma.it
chebanca.it
creval.it
bancaprossima.com
intesasanpaoloprivatebanking.com
intesasanpaolo.com
hellobank.it
Atakuojami Vokietijos domenai:
bv-activebanking.de
commerzbank.de
sparda.de
comdirect.de
deutsche-bank.de
berliner-bank.de
norisbank.de
targobank.de
Atakuojami Austrijos domenai:
sparkasse.at
raiffeisen*.at
bawagpsk.com
Atakuojami Ukrainos domenai:
bank.eximb.com
oschadbank.ua
client-bank.privatbank.ua
online.pumb.ua
creditdnepr.dp.ua
Atakuojamos el. pašto sistemos:
mail.vianova.it
mail.tecnocasa.it
MDaemon Webmail
email.it
outlook.live.com
mail.one.com
tim.it
mail.google
tiscali.it
roundcube
horde
webmail*.eu
webmail*.it
Atakuojamos kriptovaliutų piniginės: *\wallet.dat* *\default_wallet*