Le malware DanaBot fait son retour avec une 4ème version

Des chercheurs préviennent qu’une nouvelle version du cheval de Troie bancaire DanaBot a fait surface après des mois de silence. La dernière variante, toujours en cours d’analyse par les chercheurs, suscite des inquiétudes compte tenu du nombre de campagnes DanaBot efficaces dans le passé.

De Mai 2018 à Juin 2020, DanaBot a été un élément incontournable du paysage des menaces informatiques, selon Proofpoint, qui a découvert le malware pour la première fois en 2018 et a publié un compte rendu sur la dernière variante récemment.

«À partir de fin octobre 2020, nous avons observé une mise à jour significative des échantillons DanaBot apparaissant dans VirusTotal», ont écrit Dennis Schwarz, Axel F. et Brandon Murphy, dans le rapport collaboratif. «Bien qu’il ne soit pas revenu à son ancienne échelle, DanaBot est un malware que les défenseurs devraient remettre sur leur radar.»

DanaBot le destructeur

DanaBot est un cheval de Troie bancaire qui a d’abord ciblé les utilisateurs en Australie via des e-mails contenant des URL malveillantes. Les criminels ont ensuite développé une deuxième variante et ciblé des entreprises américaines – faisant partie d’une série de campagnes à grande échelle. Une troisième variante a fait surface en février 2019 et a été considérablement améliorée avec la fonctionnalité de commande et de contrôle à distance, selon les chercheurs d’ESET qui l’ont découverte.

Bien que la quatrième version la plus récente, trouvée par Proofpoint, soit unique, le rapport récent du chercheur ne sait pas quelles sont les nouvelles capacités spécifiques du logiciel malveillant. Proofpoint n’a pas répondu aux demandes de la presse.

danabot

Par rapport aux campagnes précédentes, le rapport suggère que cette variante la plus récente est principalement livrée avec le même arsenal mortel d’outils qui existait auparavant. Les principales fonctionnalités incluent un composant ToR pour anonymiser les communications entre les individus malveillants et un matériel infecté.

«Comme indiqué précédemment dans le panneau de contrôle de DanaBot, nous pensons que DanaBot est configuré comme un ‘malware en tant que service’ dans lequel un pirate informatique contrôle un panneau et une infrastructure de commande et de contrôle (C&C), puis vend l’accès à d’autres pirates informatiques connus comme affiliés », ont écrit les chercheurs.

Au coeur de DanaBot

En général, la chaîne d’infection en plusieurs étapes de DanaBot commence par un dropper qui déclenche une évolution en cascade des hacks. Ceux-ci incluent le vol de requêtes sur le réseau, le siphonnage des informations d’identification des applications et des services, l’exfiltration de données d’informations sensibles, l’infection par ransomware, l’espionnage par capture d’écran et la suppression d’un crypto-mineur pour utiliser les PC ciblés pour miner de la crypto-monnaie.

danabot troyano ciberseguridad versiones mejoradas thumb 1280

Avec son analyse actuelle, Proofpoint s’est concentré sur les changements techniques spécifiques au sein du «composant principal» du malware. Cette facette du malware comprenait des fonctionnalités anti-analyse ainsi que:

  • Certaines fonctions de l’API Windows sont résolues au moment de l’exécution.
  • Lorsqu’un fichier lié à un logiciel malveillant est lu ou écrit sur le système de fichiers, cela se fait au milieu d’une lecture ou d’une écriture de fichier leurre bénigne.
  • La persistance est maintenue en créant un fichier LNK qui exécute le composant principal dans le répertoire de démarrage de l’utilisateur.

Les fichiers LNK (ou fichiers de raccourcis Windows) sont des fichiers créés automatiquement par Windows, chaque fois qu’un utilisateur ouvre ses fichiers. Ces fichiers sont utilisés par Windows pour connecter un type de fichier à une application spécifique utilisée pour afficher ou modifier du contenu numérique.

Mises à jours incrémentielles identifiées

Avec cette nouvelle variante, les chercheurs ont identifié plusieurs nouveaux identifiants d’affiliation, suggérant que le composant malware-as-a-service de DanaBot était très actif et en croissance. De nouvelles tactiques et techniques d’infection ont également été signalées.

«Les chercheurs de Proofpoint ont pu restreindre au moins une des méthodes de distribution de DanaBot à divers sites Web de warez et de crack de logiciels censés offrir des clés logicielles et des cracks à télécharger gratuitement, y compris des programmes antivirus, des VPN, des éditeurs graphiques, des éditeurs de documents et jeux », ont écrit les chercheurs.

Le contenu illicite ou les outils warez téléchargés à partir de ces sites sont identifiés comme les points d’infection initiaux pour cette dernière variante. Un site, faisant la promotion d’un générateur de clé logicielle, des utilisateurs qui pensaient télécharger un crack de programme, mais en réalité le fichier warez «contenait plusieurs fichiers ‘README’ et une archive protégée par mot de passe contenant le dropper initial de l’ensemble de logiciels malveillants. , ‘setup_x86_x64_install.exe’ », a écrit Proofpoint.

«Certains des affiliés qui utilisaient [DanaBot] ont poursuivi leurs campagnes en utilisant d’autres logiciels malveillants bancaires (par exemple Ursnif et Zloader). On ne sait pas si la COVID-19, la concurrence d’autres logiciels malveillants bancaires, le temps de redéveloppement ou autre chose ont causé la baisse, mais il semble que DanaBot est de retour et tente de reprendre pied dans le paysage des menaces », ont conclu les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires