Нові функції трояна DanaBot виявили фахівці компанії ESET та наголошують, що відтепер загроза виходить за межі категорії банківських троянів. Про це йдеться у дослідженні спеціалістів ESET.

Як зазначають фахівці, оператори DanaBot нещодавно експериментували з функціями збирання електронних адрес та надсилання спаму, які можуть використовувати облікові записи електронної пошти жертв для подальшого поширення шкідливих програм.

Шкідливі електронні листи надсилаються у відповідь на легітимні повідомлення електронної пошти, знайдені в інфікованих поштових скриньках, створюючи враження, що самі власники поштових скриньок їх надсилають. Крім того, шкідливі електронні листи, надіслані з облікових записів, налаштованих на надсилання підписаних повідомлень, матимуть дійсні цифрові підписи.

Електронні листи включають ZIP-файли, попередньо завантажені з сервера зловмисників, які містять PDF-файли та шкідливий файл VBS. Виконання файлу VBS призводить до завантаження додаткових шкідливих програм за допомогою команди PowerShell.

Крім появи нових функцій, спеціалісти ESET виявили зв’язок DanaBot з іншими троянами, зокрема GootKit. Проаналізувавши шкідливий файл VBS на командному сервері DanaBot, спеціалісти ESET виявили, що файл вказує на модуль завантажувача для GootKit. Зв’язок загроз також підтверджується даними телеметрії ESET. Домени DanaBot та GootKit, як правило, використовують однаковий реєстратор для своїх доменів .co, а саме Todaynic.com, Inc, та в основному використовують одинакові назви серверів — dnspod.com.

Аналізуючи DanaBot, спеціалісти ESET також помітили, що частина налаштувань DanaBot має структуру, як в інших сімействах шкідливого програмного забезпечення, наприклад Tinba або Zeus.

Дослідження спеціалістів ESET показують, що DanaBot має набагато ширший спектр функцій, ніж типове банківське шкідливе програмне забезпечення. Оператори загрози регулярно додають нові функції, перевіряючи вектори поширення та, можливо, співпрацюють з іншими групами кіберзлочинців.

Автор: Олена Кожухар