Троянец DanaBot атакует банковских клиентов с помощью фишинговой кампании
Банковские трояны прочно вошли в преступную деятельность по всему миру, чего и следовало ожидать, учитывая, что быстрая выплата практически гарантирована. Новейшим из этого семейства вредоносных программ является DanaBot, который атакует компьютеры Windows. Вредоносное ПО анализируется и о нем сообщают различные исследователи информационной безопасности и новостные издания по кибербезопасности. Отчеты и анализ включают исследования доктора Фахима Аббаси и Дайаны Лоперы из Trustwave.
В своем сообщении в блоге SpiderLabs Trustwaves исследователи рассказали о DanaBot следующее:
DanaBot — это многокомпонентный банковский троянец, написанный на Delphi, и… мы заметили, что вредоносное ПО разделено на 3 компонента:
- Дроппер DanaBot
o 4afad293675bcb39ac2a85307f074cc06410a48f2e14585718193648806521c4
- Загрузчик DanaBot
o 091A4F71.dll f10a7b4d2beb20e9d7f3230e7662ead28b468e4554a7107c21e3b85e1c7a0f6a
- Основная DLL DanaBot
o 06a1a596f3dbc90da832cd2161848bc8f5c8106bc0f44d4f88d8f3ac3a68e51b
Файл дроппера DanaBot, который был загружен и запущен командой PowerShell, описанной в предыдущем разделе, сдувает и сбрасывает DLL-файл на диск, выполняет его, а затем удаляет себя. Мы называем этот файл ( загрузчиком DanaBot.
DanaBot используется для фишинговой кампании, нацеленной на банковские данные австралийских гражданских лиц. Фишинг включает в себя электронные письма, которые выглядят как счета-фактуры MYOB (MYOB — австралийская компания, занимающаяся налоговым программным обеспечением для малого и среднего бизнеса). Исследователи отмечают, что вместо предсказуемых HTTP-ссылок, обычно встречающихся в подобных фишинговых письмах, кампания DanaBot использует FTP-ссылки, которые перенаправляют жертв на скомпрометированные FTP-серверы. После перенаправления цели предлагается выполнить ZIP-файл, который запустит банковский троянец.
Вполне вероятно, что цели этой кампании были обнаружены благодаря информации, которую они обнаружили в общественных местах. В интервью Threatpost Лаборатории Касперского Карл Сиглер, менеджер по анализу угроз SpiderLabs в Trustwave, сказал: «Учитывая, сколько информации люди публикуют публично, особенно в социальных сетях, эти списки найти нетрудно». Списки, на которые он ссылается, созданы на основе общедоступной информации, которая дала злоумышленникам вероятный набор лиц, которые, вероятно, пользуются услугами MYOB.
Чтобы защитить себя, будьте осторожны с тем, что вы делитесь в Интернете, и всегда с подозрением относитесь к электронным письмам от компаний, которые содержат конфиденциальные данные, такие как банковские счета. Эта текущая кампания нацелена на Австралию, но всегда возможно, что неизвестное лицо или лица, стоящие за этим, могут расширить ее.