Danabot - это продвинутая банковская троянская вредоносная программа, созданная для кражи финансовой информации у жертв. Из всех троянцев, существующих в природе, этот является одним из самых продвинутых благодаря модульной конструкции и сложному способу доставки.
Что такое банковское вредоносное ПО Danabot?
Danabot - это банковский троян, который был замечен в дикой природе в 2018 году. Danabot отличается от конкурирующих троянов благодаря надежной системе доставки и модульной конструкции. С момента своего первого появления Danabot приобрел высокую популярность среди киберпреступников и стал активной угрозой во многих регионах мира.
Создатели постоянно обновляют эту вредоносную программу, благодаря чему троян продолжает набирать популярность в хакерском сообществе. Danabot написан с использованием языка программирования Delphi и несет в себе несколько функций кражи учетных данных.
Общее описание Danabot
Когда вредоносная программа Danabot была впервые задокументирована, ее использовал всего один злоумышленник, который проводил кампанию против австралийских компаний. С тех пор другие злоумышленники начали использовать это вредоносное ПО и расширили географию атак до Европы и Северной Америки.
В частности, троян Danabot был замечен в атаках в Польше, Германии, Италии, Австрии и США. Особенно масштабными были кампании в США, что свидетельствует об эволюции и развитии вредоносной программы.
По набору функций Danabot можно классифицировать как банковский троян, хотя некоторые его особенности указывают на то, что он становится более универсальным вредоносным ПО. Danabot состоит из трех основных компонентов. Загрузчик - это программа, созданная для загрузки основной полезной нагрузки. Основной компонент, который устанавливается загрузчиком, настраивается на загрузку модулей, которые может указать злоумышленник. Наконец, после установки модули обеспечивают функциональность, которая может варьироваться в зависимости от того, какие модули были выбраны злоумышленником в конкретной кампании.
Вредоносная программа может делать скриншоты, предоставлять злоумышленникам удаленный контроль над машиной жертвы, собирать системную информацию, красть учетные данные и записывать списки файлов, хранящихся на зараженных ПК. После сбора вся информация, записанная Danabot, отправляется на управляющий сервер в зашифрованном виде. Целью Danabot является кража конфиденциальной информации, которая может быть использована злоумышленниками в дальнейшем, поэтому вместо того, чтобы встретиться с жертвой лицом к лицу и потребовать выкуп. Эта вредоносная программа пытается оставаться скрытой и собирать ценные данные с течением времени. Некоторые из небольших кампаний по распространению Danabot были хорошо сделаны с точки зрения умной социальной инженерии и придерживались той же философии более тонкого подхода.
Кроме того, исследователи заметили, что злоумышленники, использовавшие Danabot, не ограничились кражей банковских учетных данных и начали использовать эту банковскую вредоносную программу для размещения другого спама и вредоносных кампаний, используя зараженные компьютеры своих жертв. Более того, считается, что создатели Danabot сотрудничают с группой, стоящей за другим банковским трояном - GootKit. Danabot был зарегистрирован как используемый для распространения этого типа угроз. Этот случай является первым для обеих вредоносных программ, поскольку ни одна из них ранее не распространялась или распространялась с помощью других вредоносных программ.
В январе 2019 года исследователи заметили новую версию трояна Danabot в дикой природе. Расследование подтвердило, что новые образцы являются эволюцией Danabot, с другим протоколом связи C2, который стал использовать несколько уровней шифрования и оказался очень сложным. В новом варианте, в частности, использовались алгоритмы шифрования AES и RSA. Кроме того, изменился и основной дизайн вредоносной программы, поскольку загрузчик стал отвечать за загрузку всех модулей вместе с основным компонентом. Исследователи считают, что для избежания обнаружения на сетевом уровне использовалась техника, которую злоумышленники могли придумать, прочитав существующие аналитические материалы по Danabot.
Следует отметить, что Danabot использует несколько техник уклонения, призванных максимально усложнить исследование. Например, банковская вредоносная программа содержит множество строк нежелательного кода, созданного исключительно для того, чтобы ввести исследователей в заблуждение. Вредоносная программа также использует шифрование и хеширование функций Windows API, чтобы обмануть автоматические песочницы и исследователей и не дать им раскрыть истинную природу кода.
Процесс выполнения банковской вредоносной программы Danabot
Как правило, троян Danabot заражает устройства по следующему сценарию. Сначала загрузчик устанавливает соединение с C2-сервером и загружает исполняемый файл с DLL-файлом, который может быть как 32-битным, так и 64-битным в зависимости от версии зараженной ОС.
После этого Danabot начинает красть информацию из зараженной ОС. Банковская вредоносная программа обходит контроль доступа пользователей, используя уязвимость перехвата DLL в автономном установщике Windows Update Standalone Installer (wusa.exe). Это позволяет Danabot создавать службы и выполнять инъекции в системные процессы. После всех этих действий Danabot получает полный контроль над системой.
Как избежать заражения программой Danabot?
Danabot распространяется в спам-кампаниях по электронной почте, направленных на организации и использующих социальную инженерию, чтобы обманом заставить жертв загрузить вредоносные документы по тому же сценарию.
Известно, что Danabot также попадает на ПК с другой вредоносной программой под названием Hancitor. Некоторые исследователи считают кампании электронной почты с участием Danabot хорошо продуманными, отмечая, что социальная инженерия, задействованная в них, кажется очень эффективной.
Связь с C&C
В старых образцах Danabot компонент загрузчика использовал протокол HTTP для связи с сервером управления, в то время как основной компонент использовал бинарный протокол. В более поздних итерациях оба компонента начали взаимодействовать с сервером C2 через TCP-порт 443, используя вместо этого TLS.
Заключение
Danabot - это очень сложная вредоносная программа, используемая в качестве банковского трояна и не только. Нацеленная на организации на разных континентах, вредоносная программа Danabot представляет собой высокую угрозу для бизнеса благодаря надежным методам распространения и передовым технологиям защиты от вторжений и персистенции.
Кроме того, модульная природа этого банковского вредоносного ПО позволяет злоумышленникам тонко настраивать свои кампании, адаптируя их для каждой потенциальной жертвы. Все эти качества в совокупности помогли сделать Danabot очень популярным банковским трояном, который продолжает набирать обороты в криминальном сообществе и расширять географию атак.