Výzkumný tým, který analyzuje kampaně DanaBot od srpna 2018 nedávno odhalil, že někteří boti, patřící do evropských kampaní, začali používat spustitelný soubor, který se ukázal jako ransomware napsaný v Delphi.

DanaBot se již v minulosti podílel na rozesílání spamu a spolupracoval s trojanem GootKit, který krade data, nebo šířil Remcos RAT (malware zaměřený na vzdálenou správu) na infikovaných počítačích. DanaBot je aktivně podporován, jeho operátoři přidávají nové pluginy a konfigurační soubory a aktualizují různé části malwaru (včetně algoritmů pro šifrování a generování názvů souborů a komunikačního protokolu).

DanaBot je bankovní trojan, který je distribuován pomocí phishingových e-mailů. Odkazy obvykle vedou na JavaScript nebo PowerShell dropper. Malware například umí:

– Krást přihlašovací údaje z prohlížečů a FTP klientů.

– Shromažďovat přihlašovací údaje ke krypto-peněženkám.

– Spustit proxy na infikovaném počítači.

– Vytvořit screenshoty nebo nahrát video.

– Poskytnout vzdálené ovládání přes RDP nebo VNC.

– Vyžádat si aktualizaci prostřednictvím TOR.

– Obejít UAC pomocí WUSA exploitu.

– Vyžádat si aktualizace z C&C serveru a spustit příkazy.

DanaBot se rozšířil po celé Evropě, Austrálii, Novém Zélandu, USA a Kanadě a různé kampaně se zaměřují na různé země. Nový modul je variantou ransomwaru „NonRansomware“, který šifruje soubory a do každého adresáře se zaheslovanými soubory přidává soubor HowToBackFiles.txt s žádostí o výkupné.

Zdroj: Check Point Research