DanaBot: sigiloso troyano bancario que está desactivado a Europa

Los investigadores de ESET descubrieron una nueva campaña de DanaBot dirigida a varios países de Europa, luego de haber sido detectada en un primer momento en campañas dirigidas a Australia y luego a Polonia.

Recientemente, hemos detectado un incremento en la actividad de DanaBot, un troyano bancario secreto descubierto a principios de este año. El malware, observado primero en campañas dirigidas a Australia y luego a Polonia, aparentemente siguió expandiéndose, con campañas que se detectaron en Italia, Alemania, Austria y desde septiembre de 2018: Ucrania.

¿Qué es DanaBot?

DanaBot es un troyano bancario modular que fue analizado primero por Proofpoint, en mayo de 2018, y luego descubierto en campañas de correo malicioso dirigidas a usuarios en Australia. El troyano está escrito en Delphi, tiene una arquitectura de múltiples etapas y componentes, y la mayoría de sus funciones se implementan a través de complementos.

Nuevas campañas

Apenas dos semanas después de haber informado ampliamente sobre la campaña en Australia, se detectó una campaña de DanaBot dirigida a Polonia. Según nuestras investigaciones, el targeting de Polonia sigue activo y es la mayor campaña detectada hasta ahora. Para comprometer a sus víctimas, los atacantes detrás de la campaña dirigida a Polonia usan correos electrónicos que se presentan como facturas de diferentes compañías, como se muestra en la Figura 1. La campaña usa una combinación de scripts de PowerShell y VBS. conocidos como Brushaloader.

Figura 1: ejemplo de correo no deseado utilizado como parte de la campaña DanaBot dirigida a usuarios en Polonia en septiembre de 2018.

A principios de este mes, los investigadores de ESET descubrieron varias campañas pequeñas dirigidas a bancos en Italia, Alemania y Austria que usaban el mismo método de distribución que se observó en la campaña dirigida a Polonia. Más allá de este desarrollo, el 8 de septiembre de 2018, ESET descubrió una nueva campaña de DanaBot dirigida a usuarios en Ucrania. El software y los sitios web a los que se dirigió esta nueva campaña se enumeran al final de este artículo.

La Figura 2 muestra un pico en el índice de detección de DanaBot a fines de agosto y nuevamente en septiembre de 2018, como lo muestran los datos proporcionados por nuestra telemetría.

Figura 2: visualización de las detecciones de DanaBot por parte de los productos de ESET durante los últimos dos meses.

Mejoras en los complementos

Debido a su arquitectura modular, DanaBot aprovecha los complementos para la mayoría de sus funcionalidades.

Los siguientes complementos han sido mencionados anteriormente como parte de la campaña dirigida a Australia en mayo de 2018.

  • Complemento VNC - establecer una conexión con el ordenador de la víctima para controlarlo de forma remota.
  • Complemento Sniffer – inyectar scripts maliciosos en el navegador de la víctima, generalmente mientras visita sitios bancarios a través de Internet.
  • Complemento de ladrón – recopilar contraseñas de una amplia variedad de aplicaciones (navegadores, clientes FTP, clientes VPN, programas de chat y correo electrónico, programas de póquer, etc.)
  • Complemento TOR – instala un proxy de TOR y habilita el acceso a sitios web .onion.

Según nuestra investigación, los atacantes han introducido varios cambios en los complementos de DanaBot desde la detección de campañas anteriores.

En agosto de 2018, los atacantes comenzaron a usar el complemento TOR para actualizar la lista de servidores C&C de y7zmcwurl6nphcve.onion. Si este complemento se puede usar potencialmente para crear un canal de comunicación oculto entre el atacante y la víctima, no tenemos evidencia de tal uso hasta la fecha.

Además, los atacantes ampliaron el alcance del ladrón de complementos con una versión de 64 bits compilada el 25 de agosto de 2018, ampliando la lista de programas potencialmente afectados por DanaBot.

Finalmente, a principios de septiembre de 2018, se agregó un complemento RDP a DanaBot. Se basa en el proyecto de código abierto RDPWrap que proporciona conexiones vía protocolo de escritorio remoto (RDP, por sus siglas en inglés) a máquinas Windows que normalmente no lo soportan.

Podrían ser varias las razones por las que los desarrolladores de DanaBot agregaron otro complemento que permite el acceso remoto además del complemento VNC: primero, el protocolo RDP es más difícil de bloquear por los firewalls. En segundo lugar, RDPWrap permite que varios usuarios usen la misma máquina al mismo tiempo, lo que permite a los atacantes realizar operaciones de reconocimiento mientras la víctima (que no sospecha nada) todavía está usando la máquina.

Conclusión

Nuestros hallazgos muestran que DanaBot aún se sigue utilizando y manteniendo en permanente desarrollo. Recientemente se ha detectado en países europeos. Las nuevas características introducidas en las últimas campañas indican que los atacantes detrás de DanaBot continúan utilizando la arquitectura modular del malware para aumentar su alcance y tasa de éxito.

Los sistemas de ESET detectan y bloquean todos los componentes y complementos de DanaBot con los nombres de detección enumerados en la lista de Indicadores de Compromiso (IoC). El programa y los dominios alcanzados en estas recientes campañas están listados de este artículo.

Esta investigación fue realizada por Tomáš Procházka y Michal Kolář.

Programas utilizados como espacios en blanco

Programas utilizados como blanco en todas las campañas europeas

*electrum*.exe*
*electrón*.exe*
*extensión*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*etereum*.exe*
*-qt.exe*
*zcash*.exe*
*cliente*.exe*
*comarchcryptoserver*.exe*
*servidor de tarjetas*.exe*
*java*.exe*
*jp2launcher*.exe*

Programas usados ​​como blanco en la campaña de Ucrania

El 8 de septiembre, DanaBot comenzó a dirigir a los siguientes programas de banca corporativa y herramientas de acceso remoto:

*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*inicio.corp2*.exe*
*javaw.*exe*
*nodo*.exe*
*corredor*.exe*
*ifobsclient*.exe*
*banco*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximcliente*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionero*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*pequeño*.exe*
*upp_4*.exe*
*stp*.exe*
*punto de vista*.exe*
*terminalacd*.exe*
*terminaljefe*.exe*
*cc*.exe*
inal*.exe*
*Uniterm*.exe*
*criptoservidor*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*

Dominios apuntados

Tenga en cuenta que los caracteres comodín se utilizan en la configuración, con lo que esta lista solo contiene portales que se pueden identificar de manera confiable.

Dominios apuntados de Italia

  • credem.it
  • bancaeuro.it
  • csebo.it
  • inbank.it
  • bancopostaimpresaonline.poste.it
  • bancobpm.it
  • bancopopolare.it
  • ubibanca.com
  • icbpi.it
  • bnl.es
  • banking4you.it
  • bancagenerali.it
  • ibbweb.tecmarket.it
  • gruppocarige.it
  • finecobank.com
  • gruppocarige.it
  • popso.es
  • bpergroup.net
  • credit-agricole.it
  • cariparma.it
  • chebanca.it
  • creval.it
  • bancaprossima.com
  • intesasanpaoloprivatebanking.com
  • intesasanpaolo.com
  • holabank.it

Dominios apuntados de Alemania

  • bv-activebanking.de
  • commerzbank.de
  • sparda.de
  • comdirect.de
  • deutsche-bank.de
  • berliner-bank.de
  • norisbank.de
  • targobank.de

Dominios apuntados de Austria

  • chispasse.at
  • raiffeisen*.en
  • bawagpsk.com

Dominios apuntodos de Ucrania

Dominios agregados el 14 de septiembre de 2018:

  • banco.eximb.com
  • oschadbank.ua
  • banco-cliente.privatbank.ua

Dominios agregados el 17 de septiembre de 2018:

  • online.pumb.ua
  • creditdnepr.dp.ua

Correos web puntiagudo

  • mail.vianova.it
  • mail.tecnocasa.it
  • Correo web de MDaemon
  • email.it
  • Outlook.live.com
  • mail.one.com
  • tim.it
  • correo.google
  • tiscali.it
  • cubo redondo
  • horda
  • correo web*.eu
  • correo web*.it

billeteras de criptomonedas apuntadas

*billetera.dat*
*monedero_predeterminado*

Ejemplo de configuración de campañas dirigidas a Polonia, Italia, Alemania y Austria

Indicadores de compromiso (IoC)

Servidores utilizados por DanaBot

Nótese que “Activos” se refière a servidos maliciosos significa entregar contenido malicioso a partir del 20 de septiembre de 2018.

Servidor Estado
45.77.51.69 Activo
45.77.54.180 Activo
45.77.231.138 Activo
45.77.96.198 Activo
178.209.51.227 Activo
37.235.53.232 Activo
149.154.157.220 Activo
95.179.151.252 Activo
95.216.148.25 Inactivo
95.216.171.131 Inactivo
159.69.113.47 Inactivo
159.69.83.214 Inactivo
159.69.115.225 Inactivo
176.119.1.102 Inactivo
176.119.1.103 Activo
176.119.1.104 Activo
176.119.1.109 Inactivo
176.119.1.110 Activo
176.119.1.111 Activo
176.119.1.112 Activo
176.119.1.114 Inactivo
176.119.1.116 Activo
176.119.1.117 Inactivo
104.238.174.105 Activo
144.202.61.204 Activo
149.154.152.64 Activo

Hashes de ejemplo

Nótese que las nuevas creaciones de los principales componen son lánzos cada cada 15 minutos, con lo cual los hashes pueden que no sean los últimos disponibles.

Componente SHA1 Detección
Vector de infección en Europa 782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAE VBS/TrojanDownloader.Agent.PYC
Vector de infección en Ucrania 79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8 JS/TrojanDropper.Agente.NPQ
Cuentagotas 70F9F030BA20E219CF0C92CAEC9CB56596F21D50 Win32/TrojanDropper.Danabot.I
descargador AB0182423DB78212194EE773D812A5F8523D9FFD Win32/TrojanDownloader.Danabot.I
Módulo principal (x86) EA3651668F5D14A2F5CECC0071CEB85AD775872C Win32/Spy.Danabot.F
Módulo principal (x64) 47DC9803B9F6D58CF06BDB49139C7CEE037655FE Win64/Spy.Danabot.C

Complementos

PDR C31B02882F5B8A9526496B06B66A5789EBD476BE Win32/Spy.Danabot.H
Ladrón (x86) 3F893854EC2907AA45A48FEDD32EE92671C80E8D Win32/Spy.Danabot.C
Ladrón (x64) B93455B1D7A8C57F68A83F893A4B12796B1E636C Win64/Spy.Danabot.E
Oledor DBFD8553C66275694FC4B32F9DF16ADEA74145E6 Win32/Spy.Danabot.B
VNC EBB1507138E28A451945CEE1D18AEDF96B5E1BB2 Win32/Spy.Danabot.D
COLINA 73A5B0BEE8C9FB4703A206608ED277A06AA1E384 Win32/Spy.Danabot.G

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!