DanaBot惡意軟件卷土重來
研究人員報告稱,經過幾個月的神秘沉寂后,第四版的DanaBot銀行木馬終于浮出水面。鑒于過去的DanaBot有效活動的數量眾多,研究人員仍在對最新的變體進行分析。
根據Proofpoint的說法,從2018年5月到2020年6月,DanaBot一直是犯罪軟件威脅領域的固定裝置,該公司于2018年首次發現了該惡意軟件,并在周二發布了一份關于最新變種的匯報。
“從2020年10月下旬開始,我們觀察到VirusTotal中出現的DanaBot樣本有了重大更新,” Dennis Schwarz,Axel F.和Brandon Murphy在星期二發布的合作報告中寫道。“雖然DanaBot尚未恢復到以前的規模,但它卻是防御者應重新關注的惡意軟件。”
破壞者DanaBot
DanaBot是一種銀行木馬,它首先通過包含惡意URL的電子郵件將澳大利亞的用戶作為目標。然后,罪犯分子開發了第二種變體并瞄準了美國公司,這是一系列大規模運動的一部分。據發現它的ESET研究人員稱,第三種變體于2019年2月浮出水面,并且其遠程命令和控制功能得到了顯著增強。
Proofpoint最近發現的第四版非常特殊,因此研究人員的報告仍不清楚該惡意軟件具有哪些特定的新功能。Proofpoint也沒有回復媒體的訊問。
與以前的活動相比,星期二的報告表明,這種最新的變體大多帶有與以前相同的致命工具庫,主要功能包括ToR組件,用于匿名破壞者和受感染硬件之間的通信。
“正如DanaBot控制面板中先前報道的那樣,我們認為DanaBot被設置為一種 ‘malware as a service(MaaS)’,其中一個威脅行為者控制著一個全球指揮與控制(C&C)面板和基礎架構,然后將訪問權限出售給其他被稱為分支機構的威脅參與者。”研究人員寫道。
DanaBot的核心
一般來說,DanaBot的多階段感染鏈始于一個dropper,該dropper會觸發黑客的級聯進化,這些措施包括竊取網絡請求、竊取應用程序和服務憑據、敏感信息的數據泄露、間諜軟件的桌面截圖以及投放cryptominer將目標PC變成加密貨幣工蜂。
通過當前的分析,Proofpoint側重于惡意軟件“主要組件”內的具體技術變化,該惡意軟件在這方面包括反分析功能,以及:
- 某些Windows API函數在運行時解析。
- 當一個與惡意軟件相關的文件被讀取或寫入文件系統時,它是在良性誘餌文件讀取或寫入過程中完成的。
- 通過創建一個LNK文件來維護持久性,該文件將執行用戶的Startup目錄中的主要組件。
LNK文件(或Windows快捷方式文件)是每當用戶打開文件時Windows自動創建的文件。Windows使用這些文件將文件類型連接到用于查看或編輯數字內容的特定應用程序。
確定的增量更新
利用此新變體,研究人員確定了幾個新的分支ID,這表明DanaBot的malware-as-a-service組件非常活躍并且在不斷增長。此外,還發現了應對感染的新策略和新技術。
“Proofpoint研究人員能夠將至少一種DanaBot傳播方法縮小到各種軟件警告和破解網站,這些網站據稱可以免費下載軟件密鑰和破解方法,包括防病毒程序、虛擬專用網、圖形編輯器、文檔編輯器和游戲”,研究人員寫道。
從這些站點下載的非法內容或warez工具被標記為該最新第四種變體的初始感染點。這個推廣軟件密鑰生成器的網站,誘使用戶以為他們正在下載程序破解,但實際上warez文件“包含多個'README'文件和一個受密碼保護的檔案,其中包含惡意軟件捆綁包的初始放置程序,‘setup_x86_x64_install.exe,',” Proofpoint寫道。
“一些使用[DanaBot]的分支機構繼續使用其他銀行惡意軟件(例如Ursnif和Zloader)開展其活動。目前尚不清楚是由于COVID-19,還是與其他銀行惡意軟件的競爭,亦或是重新開發時間等原因導致了這個下降,但DanaBot似乎又回來了,并試圖在威脅領域重新站穩腳跟,”研究人員總結說。
本文翻譯自:https://threatpost.com/danabot-malware-roars-back/163358/
