DanaBot黑客团队针对美国银行发起攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

几周前,ESET的安全专家观察到针对波兰,意大利,德国,奥地利和截至2018年9月乌克兰的DanaBot银行特洛伊木马的活动激增。

DanaBot黑客团队针对美国银行发起攻击

DanaBot 是一个用Delphi编写的多阶段模块化银行木马,该恶意软件允许运营商通过添加新插件来添加新功能。

当Proofpoint对其进行分析时,其专家推测威胁一直在积极发展。

银行木马最初以澳大利亚和波兰用户为目标,然后在其他国家扩展,包括意大利,德国,奥地利,以及截至2018年9月,乌克兰。

根据Proofpoint的说法,现在DanaBot的攻击者也发起了针对美国银行的新活动。专家使用服务器通信中的不同ID监控不同的活动,这种情况表明DanaBot是通过恶意软件即服务模式提供的。

ProofPoint已经确定了9个不同的参与者将特洛伊木马分配到特定区域,专家们强调,只有澳大利亚是两个不同攻击者群体的目标。

基于分发方法和定位,我们一直使用我们在C&C协议的各个部分中观察到的联盟ID对DanaBot活动进行分组(例如,183字节二进制协议头的偏移量0xc)。阅读 ProofPoint 发布的报告。

针对北美的广告系列使用的垃圾邮件假装是收件人收到的eFax数字传真。

当收件人点击邮件内容中包含的下载按钮时,它将下载一个武器化的Word文档,该文件构成一个eFax。

收件人是否允许宏正确查看传真,恶意代码执行 下载两个版本的Pony stealer和DanaBot银行恶意软件的嵌入式Hancitor恶意软件

这些电子邮件使用了eFax诱饵(图1)并包含一个链接到包含恶意宏的文档下载的URL(图2)。如果用户启用了宏,则执行嵌入式Hancitor恶意软件[3],后者又接收到下载两个版本的Pony stealer和DanaBot银行恶意软件的任务。继续分析。

来自Proofpoint的专家强调,每个联盟会员ID都使用不同的分发方法,一些参与者利用 Fallout Exploit Kit,其他人使用网络注入或malspam活动。研究人员还发现DanaBot和CryptXXX Ransomware如何 在TCP端口443上使用自定义命令和控制协议之间存在相似之处 。

Proofpoint推测DanaBot的C&C流量是此协议的演变,除了Zlib压缩之外,还使用AES加密。

研究人员认为,开发人员创建了DanaBot,作为CryptXXX演变的一部分。

因此,似乎Danabot会跟踪一个特定群体的恶意软件。这个家族从勒索软件开始,在Reveton 中添加了窃取器功能。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: