Нові версії трояна “DanaBot” виявили фахівці компанії ESET, йдеться у повідомленні прес-служби компанії.

За даними фахівців, оновлені зразки цієї шкідливої програми використовують новий протокол для зв’язку з командним сервером (C&C) та володіють незначними змінами в архітектурі.

Спеціалісти відзначають, що вперше троян був зафіксований в рамках спам-кампаній в Австралії в травні 2018 року. Згодом “DanaBot” почав поширюватися в інших країнах, зокрема Польщі, Італії, Німеччині, Австрії та Україні, а також у США. Саме під час європейських кампаній троян розширив свої можливості за допомогою нових модулів і функцій для поширення спаму.

У кінці минулого місяця спеціалісти ESET зафіксували незвичайні виконувані файли, пов’язані з “DanaBot”. Подальший аналіз показав, що бінарні файли є варіантами “DanaBot”. На відміну від попередніх, нові зразки загрози використовують складніший протокол для зв’язку з командним сервером, що володіє кількома рівнями шифрування. Зокрема тепер DanaBot у своєму з’єднанні з командним сервером застосовує алгоритми шифрування AES та RSA.

Крім цього, нові версії DanaBot також мають певні зміни в архітектурі. У попередніх версіях DanaBot був компонент, який завантажував основний модуль, а потім основний модуль завантажував і запускав плагіни. У новій версії ці дії виконує новий компонент завантажувача, який завантажує всі плагіни разом з основним модулем.

У попередніх версіях “DanaBot” було використано майже 20 різних ідентифікаторів кампанії. Тепер ідентифікатори кампанії дещо змінилися. З переліком ідентифікаторів нових версій трояна можна ознайомитися за посиланням.

Нагадаємо, масову розсилку електронних листів з вірусом-шифрувальником Troldesh/Shade зафіксували раніше фахівці CERT-UA.

Також хакери продовжують надсилати фішингові листи на адреси органів державної влади – фейкові листи містять вкладення начебто з архівом листування російської терористки Марії Колєди.