研究人员报告称,经过数月的神秘沉寂后,第四版DanaBot银行木马终于浮出水面。鉴于过去DanaBot有效活动的数量庞大,研究人员仍在分析最新的变体。根据Proofpoint的说法,从2018年5月到2020年6月,DanaBot一直是犯罪软件威胁领域的固定成员,该公司于2018年首次发现该恶意软件,并于周二发布了一份关于最新变体的报告。报告。“从2020年10月下旬开始,我们观察到VirusTotal中出现的DanaBot样本有重大更新,”DennisSchwarz、AxelF.和BrandonMurphy在周二发布的一份合作报告中写道。“虽然DanaBot还没有恢复到以前的大小,但它是防御者应该重新关注的恶意软件。”BreakerDanaBotDanaBot是一种银行木马,它首先针对澳大利亚用户发送包含恶意URL的电子邮件。随后,犯罪分子开发了第二个变体,并以美国公司为目标,作为更大规模活动的一部分。据发现它的ESET研究人员称,第三个变体于2019年2月浮出水面,它显着增强了远程命令和控制能力。Proofpoint最近发现的第四个版本非常具体,因此研究人员的报告仍不清楚该恶意软件具有哪些具体的新功能。Proofpoint也没有回应媒体的询问。与之前的活动相比,周二的报告表明,这个最新的变种主要携带与以前相同的致命工具库,其主要特征包括用于匿名破坏者和受感染硬件之间通信的ToR组件。“正如之前在DanaBot控制面板中报道的那样,我们认为DanaBot被设置为“恶意软件即服务(MaaS)”,其中单个威胁参与者控制全局命令与控制(C&C)面板和基础设施,然后出售访问其他被称为分支机构的威胁行为者,”研究人员写道。DanaBot的核心一般来说,DanaBot的多阶段感染链从一个投放器开始,该投放器会触发黑客的级联演变,包括窃取网络请求、窃取应用程序和服务凭证、敏感信息的数据泄露、间谍软件桌面屏幕截图以及投放一个加密矿工以打开将PC定位为加密货币工蜂。通过当前的分析,Proofpoint专注于恶意软件“主要组件”内的特定技术变化,在这方面包括反分析功能,以及:某些WindowsAPI函数在运行时进行解析。当恶意软件相关文件被读取或写入文件系统时,它是在良性诱饵文件读取或写入期间完成的。持久性是通过创建一个LNK文件来维护的,该文件将执行用户启动目录中的主要组件。LNK文件(或Windows快捷方式文件)是Windows在用户打开文件时自动创建的文件。Windows使用这些文件将文件类型连接到特定应用程序以查看或编辑数字内容。确定增量更新通过这个新变体,研究人员确定了几个新的分支ID,表明DanaBot的恶意软件即服务组件非常活跃且不断增长。此外,还发现了应对感染的新策略和技术。“Proofpoint研究人员能够将至少一种DanaBot传播方法缩小到各种软件警告和破解站点,这些站点据称提供免费下载软件密钥和破解方法,包括防病毒程序、虚拟专用网络、图形编辑器、文档编辑器和游戏,”研究人员写道。从这些站点下载的非法内容或warez工具被标记为这个最新的第四个变体的初始感染点。该网站推广软件密钥生成器,诱使用户以为他们正在下载要破解的程序,而实际上warez文件“包含多个‘README’文件和一个受密码保护的存档,其中包含恶意软件包的初始位置。程序,'setup_x86_x64_install.exe',”Proofpoint写道。“一些使用[DanaBot]的分支机构继续使用Ursnif和Zloader等其他银行恶意软件来开展活动。目前尚不清楚这是由于COVID-19、与其他银行恶意软件的竞争,还是重新开发时间以及其他导致这种下降的原因,但DanaBot似乎又回来了,并试图在威胁领域重新站稳脚跟,”研究人员总结道。本文翻译自:https://threatpost.com/danabot-malware-roars-back/163358/
