IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Bankovní trojan DanaBot

DanaBot

Bezpečnostní experti objevili bankovní trojan nazvaný DanaBot, který Trend Micro zjistil jako TROJ_BANLOAD.THFOAAH a který byl distribuován do evropských zemí prostřednictvím spamových emailů. Zde je to, co potřebujete o této hrozbě vědět.

Co je DanaBot?
DanaBot je bankovní trojan, napsaný v programovacím jazyce Delphi, schopný krást přihlašovací údaje a ovládat infikované systémy. Je distribuován prostřednictvím nevyžádaných emailů a maskuje se jako faktury se škodlivými přílohami, které při exekuci zneužívají nástroj PowerShell – legitimní nástroj pro správu systému – a skripty jazyka Visual Basic (VBScript) s názvem BrushaLoader.

Při prvním objevení, DanaBot použila dokumenty aplikace Word s vloženým škodlivým makrem, které po povolení umožnilo stažení DanaBotu přes PowerShell. Výzkumní pracovníci poznamenali, že používání aplikace BrushaLoader v nedávných spamových kampaních bylo novinkou a že DanaBot sám prochází aktualizacemi.

DanaBot dosud
Trojan DanaBot byl poprvé viděn při distribuci australským uživatelům prostřednictvím spamu se škodlivým dokumentem aplikace Word, který tvrdí, že uživatel je chráněn bezpečnostní společností. C & C server DanaBot nejprve zkontroluje adresu IP dotčeného systému a v případě, že se nachází v Austrálii, stáhne trojana.

Operátoři DanaBot od té doby rozšířili své cíle. Spamové kampaně se nyní distribuují do evropských zemí, zejména do Rakouska, Německa, Itálie, Polska a Ukrajiny. PowerShell a BrushaLoader se používají ke stažení různých komponent DanaBotu.

Co dělá DanaBot pozoruhodným?

DanaBot je pozoruhodný pro svůj vícestupňový infekční řetězec a modulární architekturu. Obsahuje několik komponent – většinou jako knihovny dynamických odkazů (DLL) – které vykonávají samostatné funkce:

  • VNC – připojuje a zneužívá infikovaný systém.
  • Sniffer – vkládá škodlivé skripty do prohlížeče, zatímco uživatel navštíví své cílené webové stránky on-line bankovnictví.
  • Stealer – krade přihlašovací údaje z různých aplikací, jako jsou e-mailové klienti, jako je Windows Live Mail a Outlook; instant messengers (IM); Protokoly File Transfer Protocol (FTP) jako FileZilla; internetové prohlížeče; a online herní software, zejména pokerové programy.
  • TOR – pro přístup k webovým stránkám využívá Tor proxy; výzkumníci poznamenali, že tento plug-in se používá pro komunikaci C & C.
  • RDP – slouží k přístupu ke strojům založeným na protokolech Remote Desktop Protocol (RDP); plug-in je založen na projektu s otevřeným zdrojovým kódem, který umožňuje uživatelům současně vzdáleně připojovat počítače se systémem Windows. Vedle vědců, kteří vědí, že tento modul je bezpečný pro VNC, tento modul je používán k tajnému zjišťování cíleného systému, zatímco nevědoucí uživatel ho stále používá. Tato komponenta byla do trojana přidána v září.

Jak se mohou uživatelé a podniky bránit?
Zatímco modulární malware není nový, může představovat značné riziko vzhledem k jeho neuvěřitelné povaze. Ve skutečnosti je tato technika stále častěji využívána botnety, dalšími zloději informací, malwarem pro Android, malwarem v oblasti prodeje (PoS) a dokonce i kampaněmi kyberšpionáže. Modulární malware může být obtížné zjistit. Například modul může být naprogramován tak, aby se ukončil nebo nefungoval, aniž by běžel jiný, takže může dlouho trvat než je malwarová součástka v postiženém systému spuštěna. Útočníci mohou také naprogramovat modul, aby se sám spustil a nespoléhal se na jiné součásti. V takovém případě může malware spustit krádež informací, zatímco ostatní komponenty, které mají jiné funkce, zůstávají skryté. Odkrytí součásti nezaručuje, že se nemohou najít i další.

Ochrana proti modulárnímu malwaru, jako je DanaBot, vyžaduje vícevrstvý přístup.

Zde jsou některé nejlepší postupy:

  • Zajistěte použití funkcí vzdálených přístupů, jako jsou vzdálené pracovní plochy, které využívají k zablokování jiných strojů nebo jako vektory, které může ransomware použít k přenosu informací / dat, jako jsou bankovní trojské koně.
  • Udržujte systémy, sítě, servery a brány aktualizované a aplikace aktualizujte.
  • Využijte mechanismy ověřování a povolování ke zmírnění útoků, které mohou způsobit únik nebo odcizení pověření.
  • Omezte nebo zajistěte používání nástrojů pro správu systému, které dnešní hrozby stále více zneužívají k vyloučení zjišťování.
  • Nainstalujte další vrstvy zabezpečení, jako je řízení aplikací, které zabrání spuštěním neznámých nebo podezřelých spustitelných souborů nebo aplikací. a sledování chování, které blokuje neobvyklé změny systému nebo softwaru nainstalovaného na něm.
  • Proaktivně monitorujte síť pro jakoukoli podezřelou aktivitu, jako je komunikace C & C, exfiltrace dat a postranní dění.

Zdroj: trendmicro.com