Різке зростання активності прихованого банківського трояна DanaBot в Україні виявила компанія ESET. Про це йдеться в прес-релізі компанії.
Шкідливе програмне забезпечення вперше було зафіксовано у цьому році в Австралії та Польщі. Тепер вірус поширюється в Італії, Німеччині, Австрії та Україні.
DanaBot є модульним банківським трояном, який вперше було проаналізовано Proofpoint в травні 2018 року після виявлення кампаній із поширення шкідливої програми через шкідливі електронні листи в Австралії.
Як зазначають у компанії ESET, троян написаний на Delphi та має багатоетапну та багатокомпонентну архітектуру, більшість функцій якої реалізовані за допомогою плагінів. На момент виявлення шкідливе програмне забезпечення перебуває в стані активної розробки.
Через два тижні після широко відомого поширення в Австралії, DanaBot був виявлений в Польщі. Відповідно до дослідження спеціалістів ESET, спрямована на Польщу кампанія все ще триває і є найбільшою та найактивнішою на сьогодні.
Для інфікування власних жертв зловмисники використовують електронні листи, замасковані під рахунки різних компаній. У цій кампанії використовується комбінація PowerShell та VBS сценаріїв, широко відомих як Brushaloader.
На початку вересня дослідники ESET виявили декілька менших кампаній, націлених на банки в Італії, Німеччині та Австрії, з використанням такого ж способу поширення, як і в Польщі. На додаток до цього, 08 вересня 2018 року ESET виявили нову кампанію DanaBot, спрямовану на українських користувачів.
З огляду на модульну архітектуру більшість функціональних можливостей DanaBot представлені у таких плагінах:
- VNC plug-in – встановлює з’єднання з комп’ютером жертви та віддалено контролює його;
- Sniffer plug-in – додає шкідливий скрип у браузер жертви, зазвичай, під час відвідування сайтів Інтернет-банкінгу;
- Stealer plug-in – збирає паролі з різноманітних програм (браузери, FTP-клієнти, клієнти VPN, програми для обміну повідомленнями та електронної пошти, програми для покеру тощо);
- TOR plug-in – встановлює TOR проксі та надає доступ до веб-сайтів .onion.
Спеціалісти ESET стверджують, що зловмисники внесли кілька змін до плагінів DanaBot з моменту попередніх кампаній. Зокрема у серпні 2018 року зловмисники почали використовувати плагін TOR для оновлення списку командних серверів (C&C) з y7zmcwurl6nphcve.onion. Крім цього, зловмисники розширили ряд Stealer-плагінів за допомогою 64-розрядної версії та розширили список програмного забезпечення, на яке потенційно націлено DanaBot. Зрештою, на початку вересня 2018 року до DanaBot було додано плагін RDP.
Результати дослідження показують, що DanaBot як і раніше активно використовується та розвивається. Нові функції, представлені в останніх кампаніях, вказують на те, що зловмисники продовжують використовувати модульну архітектуру шкідливих програм для збільшення рівня охоплення та кількості успішних спроб атак.