Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення нових функцій трояна DanaBot. Таким чином загроза відтепер виходить за межі категорії банківських троянів. Відповідно до дослідження спеціалістів ESET, оператори DanaBot нещодавно експериментували з функціями збирання електронних адрес та надсилання спаму, які можуть використовувати облікові записи електронної пошти жертв для подальшого поширення шкідливих програм.
Шкідливі електронні листи надсилаються у відповідь на легітимні повідомлення електронної пошти, знайдені в інфікованих поштових скриньках, створюючи враження, що самі власники поштових скриньок їх надсилають. Крім того, шкідливі електронні листи, надіслані з облікових записів, налаштованих на надсилання підписаних повідомлень, матимуть дійсні цифрові підписи.
Електронні листи включають ZIP-файли, попередньо завантажені з сервера зловмисників, які містять PDF-файли та шкідливий файл VBS. Виконання файлу VBS призводить до завантаження додаткових шкідливих програм за допомогою команди PowerShell.
Звертаємо Вашу увагу на те, що на момент написання дослідження описані вище шкідливі функції спрямовувалися тільки на Італію.
Крім появи нових функцій, спеціалісти ESET виявили зв’язок DanaBot з іншими троянами, зокрема GootKit. Проаналізувавши шкідливий файл VBS на командному сервері DanaBot, спеціалісти ESET виявили, що файл вказує на модуль завантажувача для GootKit. Зв’язок загроз також підтверджується даними телеметрії ESET. Домени DanaBot та GootKit, як правило, використовують однаковий реєстратор для своїх доменів .co, а саме Todaynic.com, Inc, та в основному використовують одинакові назви серверів — dnspod.com.
За тиждень, починаючи з 29 жовтня 2018 р., телеметрія ESET показала значне зниження поширення DanaBot у Польщі; в той же тиждень у Польщі спостерігалось значне підвищення активності GootKit. Під час цього сплеску загроза GootKit поширювалася за допомогою того ж методу, що й DanaBot в недавніх польських кампаніях.
Аналізуючи DanaBot, спеціалісти ESET також помітили, що частина налаштувань DanaBot має структуру, як в інших сімействах шкідливого програмного забезпечення, наприклад Tinba або Zeus.
Дослідження спеціалістів ESET показують, що DanaBot має набагато ширший спектр функцій, ніж типове банківське шкідливе програмне забезпечення. Оператори загрози регулярно додають нові функції, перевіряючи вектори поширення та, можливо, співпрацють з іншими групами кіберзлочинців.
Детальніше про DanaBot читайте у дослідженні, доступному за посиланням.