ИБ-экспертам стало сложнее следить за трояном Danabot

После очередного обновления модульный банковский шпион научился шифровать общение с управляющим сервером.

Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Зловред научился шифровать обмен данными с управляющим сервером и ускорил процесс закрепления на пораженной машине.

Исследователи впервые заметили Danabot в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. В его функции входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.

Возможности образцов Danabot, обнаруженных в январе этого года, не претерпели существенных изменений — вирусописатели сосредоточились на доработке архитектуры и укреплении коммуникаций с управляющим сервером.

Так, теперь все пересылаемые данные проходят многоэтапное шифрование, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером:

1. Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется.
2. Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отправляется для сохранения.
3. Именно ключ № 3 используется для передачи дальнейших команд клиенту. При хранении ключа № 3 сервер защищает его с помощью ключа № 1.

Создатели нового поколения Danabot также доработали его архитектуру. Раньше троян использовал специальный загрузчик для доставки ядра, после чего переходил к установке необходимых модулей. Теперь же все компоненты — основной файл, дополнительные плагины и конфигурационные данные — распаковываются одновременно. Установщик при этом добавляет себя в список служб, закрепляясь на компьютере.

Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку. В настоящий момент в Интернете параллельно идут несколько кампаний Danabot, которые можно различить между собой по используемым идентификаторам:

• ID=2 — пробный дистрибутив, распространяет ограниченное количество файлов с настройками;
• ID=3 — активно заражает компьютеры в Польше и Италии, работает с веб-инжектами и полным набором конфигурационных данных;
• ID=5 — отправляет данные с настройками австралийским пользователям;
• ID=7 — действует только в Польше, где проводит веб-инжекты;
• ID=9 — еще одна пробная версия с ограниченной зоной распространения без четкого таргетинга.

Предыдущие поколения Danabot также распространялись через эксплойт-паки. Злоумышленники собирали жертв через рекламу на сомнительных интернет-ресурсах и устанавливали зловред через уязвимости Windows и Internet Explorer.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

1

Всего голосов: 1

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля