新闻中心

Hot News

新型银行木马DanaBot 伪造钓鱼邮件进行传播

新型银行木马DanaBot 伪造钓鱼邮件进行传播


据恶意软件研究人员称,DanaBot攻击者发起了针对美国银行的新活动。

几周前,ESET的信息安全专家观察到针对波兰、意大利、德国、奥地利和截至2018年9月乌克兰的DanaBot银行特洛伊木马的活动激增。

DanaBot是一个用Delphi编写的多阶段模块化银行木马,该恶意软件允许操纵者透过添加新外挂来新增新功能。当对其进行分析时,其专家推测威胁一直在积极活动。

这个银行木马最初以澳大利亚和波兰用户为目标,然后在其他国家扩展,包括意大利、德国、奥地利,以及截至2018年9月的乌克兰。 现在DanaBot的攻击者也发起了针对美国银行的新活动。专家使用服务器通讯中的不同ID监控不同的活动,这种情况表明DanaBot是透过恶意软件即服务模式供应的。 目前确定了9个不同的实体将特洛伊木马分配到特定区域,专家们强调,只有澳大利亚是两个不同攻击群体的目标。

根据发布的报告:『基于分发方法和定位,我们一直使用我们在中继站协议的各个部分中观察到的"子ID"对DanaBot活动进行分组(例如,二进制协议标头中位移0xc开始的地方183个字节)。』

针对北美的一系列活动使用的垃圾邮件假装是收件人收到的eFax数字传真。

当收件人点击邮件内容中包含的下载按钮时,它将下载一个武器化的Word文件,该文件伪装成一个eFax。如果收件人启用宏正常的浏览传真,恶意代码会执行嵌入的Hancitor恶意软件,然后下载两个版本的Pony stealer和DanaBot银行恶意软件。

分析文章继续提到:『这些电子邮件使用了eFax诱饵(图1)并包含一个链接到包含恶意宏的文件下载的网址(图2)。如果用户启用了宏,则执行嵌入的Hancitor恶意软件,后者又接收到下载两个版本的Pony stealer和DanaBot银行恶意软件的任务。』

专家强调,每个子ID都使用不同的分发方法,一些操纵者利用Fallout Exploit Kit,其他人使用网站注入或垃圾邮件活动。研究人员还发现DanaBot和CryptXXX勒索软件与如何在TCP 443通讯端口上使用自定义中继站命令协议之间存在相似之处。推测DanaBot的中继站流量是此协议的演变,除了Zlib压缩之外,还使用AES加密。 研究人员认为,开发人员建立了DanaBot,作为CryptXXX变种的一部份。

总结:『因此,似乎DanaBot会追踪一个特定群体的恶意软件。这个家族从勒索软件开始,在Reveton中新增了窃取器功能。』 『作为CryptXXX勒索软件的进化,DanaBot现在是增加了窃取器和远程访问功能的银行特洛伊木马』

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功