Троян DanaBot отправляет спам-сообщения для распространения угроз

Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении новых функций трояна DanaBot. Таким образом угроза отныне выходит за пределы категории банковских троянов. Согласно исследованию специалистов ESET, операторы DanaBot недавно экспериментировали с функциями сбора электронных адресов и отправки спама, которые могут использовать учетные записи электронной почты жертв для дальнейшего распространения вредоносных программ.

Вредоносные электронные письма отправляются в ответ на легитимные сообщения электронной почты, найденные в инфицированных почтовых ящиках, создавая впечатление, что их присылают сами владельцы почтовых ящиков. Кроме того, вредоносные электронные письма, присланные из учетных записей, настроенных на отправку подписанных сообщений, будут иметь действительные цифровые подписи.

Электронные письма включают ZIP-файлы, предварительно загруженные с сервера злоумышленников, которые содержат PDF-файлы и вредоносный файл VBS. Выполнение файла VBS приводит к загрузке дополнительных вредоносных программ с помощью команды PowerShell.

Обращаем Ваше внимание на то, что на момент написания исследования описанные выше вредоносные функции были нацелены только на Италию.

Кроме появления новых функций, специалисты ESET обнаружили связь DanaBot с другими троянами, в частности GootKit. Проанализировав вредоносный файл VBS на командном сервере DanaBot, специалисты ESET обнаружили, что файл указывает на модуль загрузчика для GootKit. Связь угроз также подтверждается данными телеметрии ESET. Домены DanaBot и GootKit, как правило, используют одинаковый регистратор для своих доменов .co, а именно Todaynic.com, Inc, и в основном используют одинаковые названия серверов — dnspod.com.

За неделю, начиная с 29 октября 2018 года, телеметрия ESET показала значительное снижение распространения DanaBot в Польше, в ту же неделю в Польше наблюдалось значительное повышение активности GootKit. Во время этого всплеска угроза GootKit распространялась с помощью того же метода, что и DanaBot в недавних польских кампаниях.

Анализируя DanaBot, специалисты ESET также заметили, что часть настроек DanaBot имеет структуру, как в других семействах вредоносного программного обеспечения, например, Tinba или Zeus.

Исследования специалистов ESET показывают, что DanaBot имеет гораздо более широкий спектр функций, чем обычное банковское вредоносное программное обеспечение. Операторы угрозы регулярно добавляют новые функции, проверяя векторы распространения и, возможно, сотрудничают с другими группами киберпреступников.

Подробнее о DanaBot читайте в исследовании, доступном по ссылке.