Банкер DanaBot нацелился на финансовые организации США

Банкер DanaBot, который появился в мае 2018 года в Австралии, за полгода значительно расширил географию, переключившись сначала на Польшу, а потом на Италию, Германию, Австрию и Украину. С 26 сентября, как сообщают исследователи Proofpoint, злоумышленники нацелились на пользователей в Северной Америке и начали масштабную кампанию из сотен тысяч спам-писем.

Когда зловред заметили, он находился в стадии активной разработки, однако основная архитектура и принципы распространения с тех пор не изменились. Это модульный троян, написанный на Delphi, который внедряет в веб-страницы куски кода с вредоносным содержанием и крадет информацию с сайтов банков.

В его основе лежит загрузчик, который скачивает зашифрованный DLL-файл. Все остальные функции реализуются через подключаемые плагины:

  • VNC (удаленный доступ к рабочему столу);
  • Stealer (кража паролей из браузеров, FTP- и VPN-клиентов, чатов и почты);
  • Sniffer (внедрение вредоносного скрипта в браузер);
  • Подключение через прокси-сервер.

DanaBot умеет делать скриншоты, фиксировать введенные в формы данные и считывать ввод с клавиатуры. Собранную информацию он отправляет на командный сервер.

Основной метод распространения трояна — электронные письма, содержащие вредоносные вложения. Ранее злоумышленники маскировали их под фальшивые счета от различных компаний, но в США стали подделывать спам под уведомления от сервиса цифровой отправки факсов Efax.

Загрузив файл Word, жертва открывает его и, если нажимает кнопку «Включить содержимое», запускает скачивание и установку загрузчика Hancitor. Закрепившись в системе, он устанавливает две версии Pony и модули DanaBot.

По мнению ИБ-исследователя TomasP, атака нацелена в первую очередь на банки Wells Fargo, Bank of America, TD Bank, Royal Bank и JP Morgan Chase.

Эксперты из Proofpoint, проанализировав кампании трояна, полагают, что он распространяется по модели malware-as-a-service (MaaS, «вредоносное ПО как услуга»). На данный момент они выявили девять основных операторов, использующих DanaBot. У каждого из них есть свой «партнерский идентификатор» (affiliate ID).

Каждый из «партнеров» работает в своем регионе и использует разные методы доставки трояна. Среди них есть и веб-инъекции, и спам-рассылки, и набор эксплойтов Fallout. Глобальное же управление ведется c основного C&C-сервера.

Кроме того, исследователи нашли сходство в том, как DanaBot и шифровальщик CryptXXX взаимодействуют с командными серверами, и пришли к выводу, что банкер появился в ходе работы над программой-вымогателем.

Источник: https://threatpost.ru/danabot-attacks-us-banks/28558/