Компанія ESET — лідер у галузі інформаційної безпеки — нещодавно виявила різке зростання активності прихованого банківського трояна DanaBot. Шкідливе програмне забезпечення, яке вперше було зафіксовано раніше у цьому році в Австралії та Польщі, тепер поширюється і в інших країнах — Італії, Німеччині, Австрії та станом на вересень 2018 року в Україні.
DanaBot є модульним банківським трояном, який вперше було проаналізовано Proofpoint в травні 2018 року після виявлення кампаній із поширення шкідливої програми через шкідливі електронні листи в Австралії. Написаний в Delphi, троян має багатоетапну та багатокомпонентну архітектуру, більшість функцій якої реалізовані за допомогою плагінів. На момент виявлення шкідливе програмне забезпечення перебуває в стані активної розробки.
Через два тижні після широко відомого поширення в Австралії, DanaBot був виявлений в Польщі. Відповідно до дослідження спеціалістів ESET, спрямована на Польщу кампанія все ще триває і є найбільшою та найактивнішою на сьогодні. Для інфікування власних жертв зловмисники використовують електронні листи, замасковані під рахунки різних компаній. У цій кампанії використовується комбінація PowerShell та VBS сценаріїв, широко відомих як Brushaloader.
На початку вересня дослідники ESET виявили декілька менших кампаній, націлених на банки в Італії, Німеччині та Австрії, з використанням такого ж способу поширення, як і в Польщі. На додаток до цього, 08 вересня 2018 року ESET виявили нову кампанію DanaBot, спрямовану на українських користувачів.
Виявлення DanaBot відповідно до даних телеметрії ESET за останні два місяці
З огляду на модульну архітектуру більшість функціональних можливостей DanaBot представлені у плагінах.
Про нижченаведені плагіни раніше повідомлялося в рамках кампаній, спрямованих на Австралію в травні 2018 року:
⦁ VNC plug-in – встановлює з’єднання з комп’ютером жертви та віддалено контролює його;
⦁ Sniffer plug-in – додає шкідливий скрип у браузер жертви, зазвичай, під час відвідування сайтів Інтернет-банкінгу;
⦁ Stealer plug-in – збирає паролі з різноманітних програм (браузери, FTP-клієнти, клієнти VPN, програми для обміну повідомленнями та електронної пошти, програми для покеру тощо);
⦁ TOR plug-in – встановлює TOR проксі та надає доступ до веб-сайтів .onion.
Відповідно до дослідження спеціалістів ESET, зловмисники внесли кілька змін до плагінів DanaBot з моменту попередніх кампаній. Зокрема у серпні 2018 року зловмисники почали використовувати плагін TOR для оновлення списку командних серверів (C&C) з y7zmcwurl6nphcve.onion. Крім цього, зловмисники розширили ряд Stealer-плагінів за допомогою 64-розрядної версії та розширили список програмного забезпечення, на яке потенційно націлено DanaBot. Зрештою, на початку вересня 2018 року до DanaBot було додано плагін RDP.
Результати дослідження показують, що DanaBot як і раніше активно використовується та розвивається. Нові функції, представлені в останніх кампаніях, вказують на те, що зловмисники продовжують використовувати модульну архітектуру шкідливих програм для збільшення рівня охоплення та кількості успішних спроб атак.
Варто зазначити, що системи ESET виявляють та блокують всі компоненти та плагіни DanaBot.
Індикатори компроментації (IoC), перелік програмного забезпечення та доменів, які були атаковані під час останніх кампаній, можна знайти за посиланням.