DanaBot银行特洛伊木马面向欧洲国家发起攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

DanaBot银行特洛伊木马面向欧洲国家发起攻击

ESET的安全专家最近观察到DanaBot银行特洛伊木马的活动激增,目前正在针对波兰,意大利,德国,奥地利以及截至2018年9月的乌克兰。

ESET的安全专家最近观察到今年早些时候首次发现的DanaBot银行木马活动激增。

DanaBot是一个用Delphi编写的多阶段模块化银行木马,该恶意软件允许运营商通过添加新插件来添加新功能。

在2018年5月以前针对澳大利亚银行的攻击中使用的一些插件下面 :

VNC插件 - 建立与受害者计算机的连接并远程控制它
Sniffer插件 - 通常在访问网上银行网站时将恶意脚本注入受害者的浏览器
Stealer插件 - 从各种应用程序(浏览器,FTP客户端,VPN客户端,聊天和电子邮件程序,扑克程序等)中收集密码。
TOR插件 - 安装TOR代理并允许访问.onion网站
当Proofpoint对其进行分析时,其专家推测威胁一直在积极发展。

银行木马最初以澳大利亚和波兰用户为目标,然后在其他国家扩展,包括意大利,德国,奥地利,以及截至2018年9月,乌克兰。

针对波兰的广告系列仍在进行中并且是最大的广告系列,攻击者使用垃圾邮件来利用Brishloader技术(PowerShell和VBS脚本的组合)来破坏受害者。

9月初,一系列较小的活动针对意大利,德国和奥地利的银行。

继这一发展之后,2018年9月8日,ESET发现了针对乌克兰用户的新DanaBot活动。阅读ESET发布的分析。

专家注意到,自从之前报道的广告系列以来,攻击者已经对DanaBot插件进行了一些更改,例如,自2018年8月25日以来,Stealer插件也编译为64位版本。

自2018年9月初以来,DanaBot的作者还实现了基于开源项目RDPWrap的RDP插件,该插件为 通常不支持它的Windows机器提供远程桌面协议连接。

恶意软件还实现了RDP插件,因为协议不太可能被防火墙阻止,专家还强调RDPWrap允许多个用户同时使用同一台机器。这方面非常重要,因为攻击者可以在受害者仍在使用机器时执行侦察操作。

DanaBot是一个非常活跃的威胁,其运营商在针对欧洲国家的同时继续改进它。

这些最新活动中引入的新功能表明,DanaBot背后的攻击者继续利用恶意软件的模块化架构来提高其覆盖面和成功率。ESET总结道。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: