Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении новых версий трояна DanaBot. Согласно исследованию специалистов ESET, обновленные образцы этой вредоносной программы используют новый протокол для связи с командным сервером (C&C) и обладают незначительными изменениями в архитектуре.
Стоит отметить, что впервые троян был зафиксирован в рамках спам-кампаний в Австралии в мае 2018 года. После этого, DanaBot начал распространяться в других странах, в частности Польши, Италии, Германии, Австрии и Украины, а также в США. Именно во время европейских кампаний троян расширил свои возможности с помощью новых модулей и функций для распространения спама.
В конце прошлого месяца специалисты ESET зафиксировали необычные исполняемые файлы, связанные с DanaBot. Дальнейший анализ показал, что бинарные файлы являются вариантами DanaBot. В отличие от предыдущих, новые образцы угрозы используют более сложный протокол для связи с командным сервером, который обладает несколькими уровнями шифрования. В частности, теперь DanaBot в своем соединении с командным сервером применяет алгоритмы шифрования AES и RSA.
Кроме этого, новые версии DanaBot также имеют определенные изменения в архитектуре. В предыдущих версиях DanaBot был компонент, который загружал основной модуль, а затем основной модуль загружал и запускал плагины. В новой версии эти действия выполняет новый компонент загрузчика, который загружает все плагины вместе с основным модулем.
В предыдущих версиях DanaBot было использовано почти 20 различных идентификаторов кампании. Теперь идентификаторы кампании несколько изменились. С перечнем идентификаторов новых версий трояна можно ознакомиться по ссылке.
Как видим, в 2018 году специалисты ESET зафиксировали изменения в функционале и рост уровня распространения трояна DanaBot. В 2019 году активная разработка вредоносной программы продолжилась. С помощью усовершенствований злоумышленники пытаются избежать обнаружения на уровне сети, а также, вероятно, скрыть деятельность угрозы после публикации предыдущих исследований.
Стоит отметить, что продукты ESET обнаруживают и блокируют все компоненты и плагины DanaBot с названиями выявлений, которые можно найти в подробном исследовании угрозы.