SOS :: Security Operation Space
24 апреля, среда, 00:00
|
Hot News:

ИБ-экспертам стало сложнее следить за трояном Danabot

08 февраля 2019 г., пятница, 14:51

После очередного обновления модульный банковский шпион научился шифровать общение с управляющим сервером.

Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Зловред научился шифровать обмен данными с управляющим сервером и ускорил процесс закрепления на пораженной машине.

Исследователи впервые заметили Danabot в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. В его функции входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.

Возможности образцов Danabot, обнаруженных в январе этого года, не претерпели существенных изменений — вирусописатели сосредоточились на доработке архитектуры и укреплении коммуникаций с управляющим сервером.

Так, теперь все пересылаемые данные проходят многоэтапное шифрование, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером:

  1. Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется.
  2. Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отправляется для сохранения.
  3. Именно ключ № 3 используется для передачи дальнейших команд клиенту. При хранении ключа № 3 сервер защищает его с помощью ключа № 1.

Создатели нового поколения Danabot также доработали его архитектуру. Раньше троян использовал специальный загрузчик для доставки ядра, после чего переходил к установке необходимых модулей. Теперь же все компоненты — основной файл, дополнительные плагины и конфигурационные данные — распаковываются одновременно. Установщик при этом добавляет себя в список служб, закрепляясь на компьютере.

Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку. В настоящий момент в Интернете параллельно идут несколько кампаний Danabot, которые можно различить между собой по используемым идентификаторам:

  • ID=2 — пробный дистрибутив, распространяет ограниченное количество файлов с настройками;
  • ID=3 — активно заражает компьютеры в Польше и Италии, работает с веб-инжектами и полным набором конфигурационных данных;
  • ID=5 — отправляет данные с настройками австралийским пользователям;
  • ID=7 — действует только в Польше, где проводит веб-инжекты;
  • ID=9 — еще одна пробная версия с ограниченной зоной распространения без четкого таргетинга.

Предыдущие поколения Danabot также распространялись через эксплойт-паки. Злоумышленники собирали жертв через рекламу на сомнительных интернет-ресурсах и устанавливали зловред через уязвимости Windows и Internet Explorer.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:52
15:15
13:15
12:47
11:15
09:15
07:15
07:15
06:15
04:54
16:05
15:52
15:15
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.235
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.