DanaBot – банківський троян, який був виявлений вперше в Австралії, тепер дійшов до Німеччини та атакує німецькі банки й може розповсюдитися всією Європою. Також діяльність шкідника зафіксована в фінансових установах США. Про це пише ZDNet.
DanaBot був вперше виявлений дослідниками Proofpoint минулого року. Зафіксовано, що зловмисне програмне забезпечення вражало австралійські фінансові установи, але на той час, здавалося, що DanaBot походить лише з одного джерела загрози. Тепер шкідливе програмне забезпечення еволюціонувало і стало чимось більшим, ніж просто один елемент схеми вимагання грошей. Фірма Webroot називає DanaBot “дуже прибутковим проектом модульного злочинного програмного забезпечення”.
DanaBot, написаний на Delphi, вперше був відкритий як легкий у використанні набір фішингових листів, які розповсюджувалися в Австралії. У повідомленнях використовувалися певні cюжетні лінії (маються на увазі формати листів, під які підлаштовувалися злочинці), включаючи електронні платежі та рахунки-фактури. Мета злочинців була – примусити жертв завантажувати шкідливий плагін для Microsoft Word, що містить макрос, який розгортатиме DanaBot через PowerShell.
Шкідник містить низку функцій, характерних для банківського трояна. Компонент завантажувача запускає одну з динамічних бібліотек (DLL), яка потім завантажує на комп’ютер жертви додаткові модулі, включаючи інжектор веб-сайтів банку, інструменти для крадіжки інформації та список посилань на цільові веб-сайти.
DanaBot здатний маніпулювати сеансами веб-переглядачів і перенаправляти відвідування веб-сайтів фінансових служб, щоб викрасти подані жертвами облікові дані та робить скріншоти з робочого столу жертви, а також може передавати викрадені дані на сервер управління командами та керуванням (C2) зловмисного програмного забезпечення.
З 2018 року розробники DanaBot серйозно оновили свій арсенал. За словами Webroot, зловмисне програмне забезпечення розширило свою сферу охоплення і зараз активно діє не лише в Австралії, але і в США та Європі. Нещодавно на радарах з’явилися нові цілі – банки Німеччини. Кожен регіон зараз асоціюється з своїм окремим ідентифікатором кампанії для адаптації фішингових листів та визначення найбільш успішних векторів.
DanaBot також оновила свої функції веб-ін’єкцій. Хоча шкідник завжди використовував те, що дослідники називають “веб-ін’єкціями у стилі ZeuS” (схоже на відомий троян ZeuS)- зловмисне програмне забезпечення також тепер використовуватиме відбитки пальців браузера та ОС для доставки “найвірогіднішого підробленого веб-сайту “при заміні законних банківських доменів.
Також були помічені додаткові модулі та вдосконалення, включаючи модуль для мережі Tor – потенційно для маскування зв’язку з командним центром (С2) та приховування запитів оновлень.
Поки Webroot не знайшов модулів, які дають підставу вважати DanaBot вірусом -вимагачем. Але під час свого розслідування, дослідники Checkpoint виявили, що деякі європейські кампанії розповсюджують паралельно з DanaBot вірус-вимагач, названий Crypt і теж написаний на Delphi.
“[DanaBot] продовжує розвивати свої географічні мережі. Оскільки додається більше філій, та розгалужується у функціях, щоб перевірити функціональність тієї частини, яка відповідальна за вимагання грошей , – кажуть у Webroot. – Ця зміна тактики, безумовно, співпадає з іншими зрушеннями, які ми спостерігали, – злочинці здійснюють розвідку для того, щоб визначити “вартість” жертви перед тим, як запустити вірус-вимагач з контролера домену. Злочинці ефективно зменшують кількість атак на користь якості, коли вони оцінюють свою жертву та на підставі цього роблять свій вибір”.
Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.
Також компанія Microsoft заблокувала установку оновлень для Windows 7 і Windows Server 2008 R2, підписаних за допомогою сертифіката SHA-2, на пристроях із встановленими антивірусними продуктами Symantec або Norton.
Стало відомо, що в п’ятницю, 9 серпня, на конференції для розробників генеральний директор споживчого напрямки Huawei Річард Юй (Richard Yu) здивував аудиторію, презентувавши “HarmonyOS”, яка, за його словами, є більш швидкою і безпечною системою, ніж Android.
Окрім цього, дослідник із безпеки виявив уразливості в низці пристроїв, експлуатація яких дозволяє перетворити девайс у “наступальну” низькосортну кіберзброю.
Фахівці Microsoft виявили в Remote Desktop Services (RDS) чотири нові критичні уразливості на зразок нещодавно виправленій BlueKeep.