研究人员报告称,经过几个月的神秘沉寂后,第四版的DanaBot银行木马终于浮出水面。鉴于过去的DanaBot有效活动的数量众多,研究人员仍在对最新的变体进行分析。
根据Proofpoint的说法,从2018年5月到2020年6月,DanaBot一直是犯罪软件威胁领域的固定装置,该公司于2018年首次发现了该恶意软件,并在周二发布了一份关于最新变种的汇报。
“从2020年10月下旬开始,我们观察到VirusTotal中出现的DanaBot样本有了重大更新,” Dennis Schwarz,Axel F.和Brandon Murphy在星期二发布的合作报告中写道。“虽然DanaBot尚未恢复到以前的规模,但它却是防御者应重新关注的恶意软件。”
破坏者DanaBot
DanaBot是一种银行木马,它首先通过包含恶意URL的电子邮件将澳大利亚的用户作为目标。然后,罪犯分子开发了第二种变体并瞄准了美国公司,这是一系列大规模运动的一部分。据发现它的ESET研究人员称,第三种变体于2019年2月浮出水面,并且其远程命令和控制功能得到了显着增强。
Proofpoint最近发现的第四版非常特殊,因此研究人员的报告仍不清楚该恶意软件具有哪些特定的新功能。Proofpoint也没有回复媒体的讯问。
与以前的活动相比,星期二的报告表明,这种最新的变体大多带有与以前相同的致命工具库,主要功能包括ToR组件,用于匿名破坏者和受感染硬件之间的通信。
“正如DanaBot控制面板中先前报道的那样,我们认为DanaBot被设置为一种 ‘malware as a service(MaaS)’,其中一个威胁行为者控制着一个全球指挥与控制(C&C)面板和基础架构,然后将访问权限出售给其他被称为分支机构的威胁参与者。”研究人员写道。
DanaBot的核心
一般来说,DanaBot的多阶段感染链始于一个dropper,该dropper会触发黑客的级联进化,这些措施包括窃取网络请求、窃取应用程序和服务凭据、敏感信息的数据泄露、间谍软件的桌面截图以及投放cryptominer将目标PC变成加密货币工蜂。
通过当前的分析,Proofpoint侧重于恶意软件“主要组件”内的具体技术变化,该恶意软件在这方面包括反分析功能,以及:
· 某些Windows API函数在运行时解析。
· 当一个与恶意软件相关的文件被读取或写入文件系统时,它是在良性诱饵文件读取或写入过程中完成的。
· 通过创建一个LNK文件来维护持久性,该文件将执行用户的Startup目录中的主要组件。
LNK文件(或Windows快捷方式文件)是每当用户打开文件时Windows自动创建的文件。Windows使用这些文件将文件类型连接到用于查看或编辑数字内容的特定应用程序。
确定的增量更新
利用此新变体,研究人员确定了几个新的分支ID,这表明DanaBot的malware-as-a-service组件非常活跃并且在不断增长。此外,还发现了应对感染的新策略和新技术。
“Proofpoint研究人员能够将至少一种DanaBot传播方法缩小到各种软件警告和破解网站,这些网站据称可以免费下载软件密钥和破解方法,包括防病毒程序、VPN、图形编辑器、文档编辑器和游戏”,研究人员写道。
从这些站点下载的非法内容或warez工具被标记为该最新第四种变体的初始感染点。这个推广软件密钥生成器的网站,诱使用户以为他们正在下载程序破解,但实际上warez文件“包含多个'README'文件和一个受密码保护的档案,其中包含恶意软件捆绑包的初始放置程序,‘setup_x86_x64_install.exe,',” Proofpoint写道。
“一些使用[DanaBot]的分支机构继续使用其他银行恶意软件(例如Ursnif和Zloader)开展其活动。目前尚不清楚是由于COVID-19,还是与其他银行恶意软件的竞争,亦或是重新开发时间等原因导致了这个下降,但DanaBot似乎又回来了,并试图在威胁领域重新站稳脚跟,”研究人员总结说。
本文翻译自:https://threatpost.com/danabot-malware-roars-back/163358/如若转载,请注明原文地址