Investigadores de ESET descubrieron una nueva campaña de DanaBot
dirigida a varios países de Europa, luego de haber sido detectado en un
primer momento en campañas dirigidas a Australia y luego a Polonia.
Recientemente, hemos detectado un incremento en la actividad de
DanaBot, un sigiloso troyano bancario descubierto a principios de este
año. El malware, primero observado en campañas dirigidas a Australia y
más tarde a Polonia, aparentemente se siguió expandiendo, con campañas
que se detectaron en Italia, Alemania, Austria y desde septiembre de
2018: Ucrania.
¿Qué es DanaBot?
DanaBot es un troyano bancario modular que fue analizado primero por Proofpoint, en mayo de 2018,
luego de ser descubierto en campañas de correo maliciosas dirigidas a
usuarios en Australia. El troyano es escrito en Delphi, tiene una
arquitectura multi-stage y multi componente, y la mayoría de sus
funcionalidades son implementadas a través de plug-ins.
Nuevas campañas
Justo dos semanas después de haber sido ampliamente reportada la campaña en Australia, se detectó una campaña de DanaBot dirigida a Polonia.
Según nuestras investigaciones, la dirigida a Polonia aún está activa y
es la campaña más larga que se ha detectado hasta el momento. Para
comprometer a sus víctimas, los atacantes detrás de la campaña dirigida a
Polonia utilizan correos que se presentan como facturas provenientes de
distintas compañías, como se puede ver en la Figura 1. La campaña hace
uso de una combinación de PowerShell y scripts VBS conocidos como Brushaloader.
Figura
1 – Ejemplo de correo spam utilizado como parte de la campaña de
DanaBot dirigida a usuarios de Polonia en septiembre de 2018.
A comienzos de este mes, investigadores de ESET descubrieron varias
campañas pequeñas dirigidas a bancos de Italia, Alemania y Austria que
utilizaban el mismo método de distribución que se observó en la campaña
dirigida a Polonia. Más allá de este desarrollo, el 8 de septiembre de
2018, ESET descubrió una nueva campaña de DanaBot que apuntaba a
usuarios de Ucrania. El software y sitios web a los cuales se dirigía
esta nueva campaña están listados al final de este artículo.
La Figura 2 muestra un pico en el ratio de detecciones de DanaBot al
final de agosto y nuevamente en septiembre de 2018, tal como se puede
apreciar según datos aportados por nuestra telemetría.
Figura 2 – Visualización de las detecciones de DanaBot por los productos de ESET durante los últimos dos meses.
Mejoras en los Plug-in
Debido a su arquitectura modular, DanaBot se aprovecha de plug-ins para la mayoría de sus funcionalidades.
Los siguientes plug-ins han sido mencionados previamente como parte de la campaña dirigida a Australia en mayo de 2018.
- VNC plug-in – establece una conexión con la computadora de la víctima para controlarla de manera remota.
- Sniffer plug-in – inyecta scripts maliciosos en el navegador de la víctima, generalmente mientras visita sitios bancarios a través de Internet.
- Stealer plug-in – recopila contraseñas de una amplia variedad de aplicaciones (navegadores, clientes FTP, clientes VPN, chat y programas de email, programas de poker, etc)
- TOR plug-in – instala un proxy de TOR y habilita el acceso a sitios web .onion.
De acuerdo a nuestra investigación, los atacantes han introducido
varios cambios a los plug-ins de DanaBot desde la detección de las
campañas anteriores.
En Agosto de 2018, los atacantes comenzaron a utilizar el plug-in de
TOR para actualizar la lista de servidores C&C desde
y7zmcwurl6nphcve.onion. Si bien este plug-in puede ser potencialmente
utilizado para crear un canal de comunicación encubierto entre el
atacante y la víctima, no tenemos ninguna evidencia de tal uso hasta la
fecha.
Adicionalmente, los atacantes han extendido el rango del plug-in
robador con una versión de 64-bit compilada el 25 de agosto de 2018,
expandiendo la lista de programas potencialmente afectados por DanaBot.
Finalmente, a comienzos de septiembre de 2018, un plug-in RDP fue añadido a DanaBot. Se basa en el proyecto de código abierto RDPWrap
que provee conexiones mediante protocolo de escritorio remoto (RDP, por
sus siglas en inglés) a máquinas con Windows que normalmente no lo
soportan.
Podrían ser varias las razones por las que los desarrolladores de
DanaBot agregaron otro plug-in que habilita el acceso remoto además del
plug-in VNC: primero, el protocolo RDP es más difícil que sea bloqueado
por firewalls. Segundo, RDPWrap permite que varios usuarios usen la
misma máquina al mismo tiempo, habilitando a los atacantes a realizar
operaciones de reconocimiento mientras que la víctima (que no tiene
sospecha de nada) aún está utilizando la máquina.
Conclusión
Nuestros hallazgos muestran que DanaBot aún sigue siendo utilizado y
se mantiene en permanente desarrollo. Recientemente se ha detectado en
países europeos. Las nuevas funcionalidades introducidas en las últimas
campañas indican que los atacantes detrás de DanaBot continúan haciendo
uso de la arquitectura modular del malware para incrementar su ratio de
alcance y éxito.
Los sistemas de ESET detectan y bloquean todos los componentes de
DanaBot y los plug-ins bajo los nombres de detección que figuran en la
lista de los Indicadores de Compromiso (IoC). El programa y los dominios
alcanzados en estas recientes campañas están listados a continuación de
este artículo.
Esta investigación fue llevada a cabo por Tomáš Procházka y Michal Kolář.
Programas utilizados como blancos
Programas utilizados como blanco en todas las campañas europeas
*electrum*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*-qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*-qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*
Programas utilizados como blanco en campaña de Ucrania
El 8 de septiembre, DanaBot comenzó a dirigirse a los siguientes
programas bancarios corporativos y herramientas de acceso remoto:
*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe*
*upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*
inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe*
*upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*
inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*
Dominios apuntados
Nótese que los caracteres comodines son utilizados en la
configuración, con lo cual esta lista solo contiene portales que pueden
ser identificados de manera confiable.
Dominios apuntados de Italia
- credem.it
- bancaeuro.it
- csebo.it
- inbank.it
- bancopostaimpresaonline.poste.it
- bancobpm.it
- bancopopolare.it
- ubibanca.com
- icbpi.it
- bnl.it
- banking4you.it
- bancagenerali.it
- ibbweb.tecmarket.it
- gruppocarige.it
- finecobank.com
- gruppocarige.it
- popso.it
- bpergroup.net
- credit-agricole.it
- cariparma.it
- chebanca.it
- creval.it
- bancaprossima.com
- intesasanpaoloprivatebanking.com
- intesasanpaolo.com
- hellobank.it
Dominios apuntados de Alemania
- bv-activebanking.de
- commerzbank.de
- sparda.de
- comdirect.de
- deutsche-bank.de
- berliner-bank.de
- norisbank.de
- targobank.de
Dominios apuntados de Austria
- sparkasse.at
- raiffeisen*.at
- bawagpsk.com
Dominios apuntados de Ucrania
Dominios añadidos el 14 de septiembre de 2018:
- bank.eximb.com
- oschadbank.ua
- client-bank.privatbank.ua
Dominios añadidos el 17 de septiembre de 2018:
- online.pumb.ua
- creditdnepr.dp.ua
Webmails apuntados
- mail.vianova.it
- mail.tecnocasa.it
- MDaemon Webmail
- email.it
- outlook.live.com
- mail.one.com
- tim.it
- mail.google
- tiscali.it
- roundcube
- horde
- webmail*.eu
- webmail*.it
Billeteras de criptomonedas apuntadas
*\wallet.dat*
*\default_wallet*
*\default_wallet*
Ejemplo de configuraciones de campañas dirigidas a Polonia, Italia, Alemania y Austria
Indicadores de Compromiso (IoCs)
Servidores utilizados por DanaBot
Nótese que “Activos” se refiere a servidores maliciosos stands for serving malicious content as of September 20, 2018.
| Server | Status |
|---|---|
| 45.77.51.69 | Active |
| 45.77.54.180 | Active |
| 45.77.231.138 | Active |
| 45.77.96.198 | Active |
| 178.209.51.227 | Active |
| 37.235.53.232 | Active |
| 149.154.157.220 | Active |
| 95.179.151.252 | Active |
| 95.216.148.25 | Inactive |
| 95.216.171.131 | Inactive |
| 159.69.113.47 | Inactive |
| 159.69.83.214 | Inactive |
| 159.69.115.225 | Inactive |
| 176.119.1.102 | Inactive |
| 176.119.1.103 | Active |
| 176.119.1.104 | Active |
| 176.119.1.109 | Inactive |
| 176.119.1.110 | Active |
| 176.119.1.111 | Active |
| 176.119.1.112 | Active |
| 176.119.1.114 | Inactive |
| 176.119.1.116 | Active |
| 176.119.1.117 | Inactive |
| 104.238.174.105 | Active |
| 144.202.61.204 | Active |
| 149.154.152.64 | Active |
Hashes de ejemplo
Nótese que las nuevas creaciones de los principales componentes son
lanzados cada 15 minutos, con lo cual los hashes puede que no sean los
últimos disponibles.
| Component | SHA1 | Detection |
|---|---|---|
| Infection vector in Europe | 782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAE | VBS/TrojanDownloader.Agent.PYC |
| Infection vector in Ukraine | 79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8 | JS/TrojanDropper.Agent.NPQ |
| Dropper | 70F9F030BA20E219CF0C92CAEC9CB56596F21D50 | Win32/TrojanDropper.Danabot.I |
| Downloader | AB0182423DB78212194EE773D812A5F8523D9FFD | Win32/TrojanDownloader.Danabot.I |
| Main module (x86) | EA3651668F5D14A2F5CECC0071CEB85AD775872C | Win32/Spy.Danabot.F |
| Main module (x64) | 47DC9803B9F6D58CF06BDB49139C7CEE037655FE | Win64/Spy.Danabot.C |
Plug-ins
| RDP | C31B02882F5B8A9526496B06B66A5789EBD476BE | Win32/Spy.Danabot.H |
| Stealer (x86) | 3F893854EC2907AA45A48FEDD32EE92671C80E8D | Win32/Spy.Danabot.C |
| Stealer (x64) | B93455B1D7A8C57F68A83F893A4B12796B1E636C | Win64/Spy.Danabot.E |
| Sniffer | DBFD8553C66275694FC4B32F9DF16ADEA74145E6 | Win32/Spy.Danabot.B |
| VNC | EBB1507138E28A451945CEE1D18AEDF96B5E1BB2 | Win32/Spy.Danabot.D |
| TOR | 73A5B0BEE8C9FB4703A206608ED277A06AA1E384 | Win32/Spy.Danabot.G |
Fuente: https://www.welivesecurity.com/
0 Comentarios