Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення нових версій трояна DanaBot. Відповідно до дослідження спеціалістів ESET, оновлені зразки цієї шкідливої програми використовують новий протокол для зв’язку з командним сервером (C&C) та володіють незначними змінами в архітектурі.
Варто зазначити, що вперше троян був зафіксований в рамках спам-кампаній в Австралії в травні 2018 року. Згодом DanaBot почав поширюватися в інших країнах, зокрема Польщі, Італії, Німеччині, Австрії та Україні, а також у США. Саме під час європейських кампаній троян розширив свої можливості за допомогою нових модулів і функцій для поширення спаму.
У кінці минулого місяця спеціалісти ESET зафіксували незвичайні виконувані файли, пов'язані з DanaBot. Подальший аналіз показав, що бінарні файли є варіантами DanaBot. На відміну від попередніх, нові зразки загрози використовують складніший протокол для зв'язку з командним сервером, що володіє кількома рівнями шифрування. Зокрема тепер DanaBot у своєму з’єднанні з командним сервером застосовує алгоритми шифрування AES та RSA.
Крім цього, нові версії DanaBot також мають певні зміни в архітектурі. У попередніх версіях DanaBot був компонент, який завантажував основний модуль, а потім основний модуль завантажував і запускав плагіни. У новій версії ці дії виконує новий компонент завантажувача, який завантажує всі плагіни разом з основним модулем.
У попередніх версіях DanaBot було використано майже 20 різних ідентифікаторів кампанії. Тепер ідентифікатори кампанії дещо змінилися. З переліком ідентифікаторів нових версій трояна можна ознайомитися за посиланням.
Отже, у 2018 році спеціалісти ESET зафіксували зміни у функціоналі та зростання рівня поширення трояна DanaBot. У 2019 році активна розробка шкідливої програми продовжилася. За допомогою вдосконалень зловмисники намагаються уникнути виявлення на рівні мережі, а також, ймовірно, приховати діяльність загрози після публікації попередніх досліджень.
Варто зазначити, що продукти ESET виявляють і блокують усі компоненти та плагіни DanaBot з назвами виявлень, які можна знайти у детальному дослідженні загрози.