Kyberzločinci vyvinuli nový ransomwarový modul pro trojan DanaBot

DanaBot

Výzkumný tým, který analyzuje kampaně DanaBot od srpna 2018 nedávno odhalil, že někteří boti, patřící do evropských kampaní, začali používat spustitelný soubor, který se ukázal jako ransomware napsaný v Delphi.

DanaBot se již v minulosti podílel na rozesílání spamu a spolupracoval s trojanem GootKit, který krade data, nebo šířil Remcos RAT (malware zaměřený na vzdálenou správu) na infikovaných počítačích. DanaBot je aktivně podporován, jeho operátoři přidávají nové pluginy a konfigurační soubory a aktualizují různé části malwaru (včetně algoritmů pro šifrování a generování názvů souborů a komunikačního protokolu).

DanaBot je bankovní trojan, který je distribuován pomocí phishingových e-mailů. Odkazy obvykle vedou na JavaScript nebo PowerShell dropper. Malware například umí:

– Krást přihlašovací údaje z prohlížečů a FTP klientů.

– Shromažďovat přihlašovací údaje ke krypto-peněženkám.

– Spustit proxy na infikovaném počítači.

– Vytvořit screenshoty nebo nahrát video.

– Poskytnout vzdálené ovládání přes RDP nebo VNC.

– Vyžádat si aktualizaci prostřednictvím TOR.

– Obejít UAC pomocí WUSA exploitu.

– Vyžádat si aktualizace z C&C serveru a spustit příkazy.

DanaBot se rozšířil po celé Evropě, Austrálii, Novém Zélandu, USA a Kanadě a různé kampaně se zaměřují na různé země. Nový modul je variantou ransomwaru „NonRansomware“, který šifruje soubory a do každého adresáře se zaheslovanými soubory přidává soubor HowToBackFiles.txt s žádostí o výkupné.

Zdroj: Check Point Research

Související články

Leave a Comment