DanaBot fue descubierto por primera vez por los investigadores de Proofpoint, en 2018. Se observó que el malware atacaba a objetivos australianos de valor económico, pero en ese momento, parecía provenir de una sola fuente de actores de amenazas.
Ahora, el malware ha evolucionado y se ha convertido en algo más que una pieza de malware de una sola fuente, hasta transformarse en lo que Webroot denomina un “proyecto de software de actividades ilegales modular muy rentable”.
DanaBot, escrito en Delphi, fue encontrado por primera vez como una carga útil en los correos electrónicos de phishing que circulan en Australia. Los mensajes utilizaban líneas de asunto incluyendo E-Tolls y facturas en un intento de coaccionar a las víctimas para que descargaran un archivo adjunto malicioso de Microsoft Word que contenía una macro que desplegaba DanaBot a través de PowerShell.
El malware contiene una serie de funciones de troyanos bancarios estándar. Un componente del descargador lanza una DLL que extrae módulos adicionales, incluyendo un inyector de sitios web del banco, un ladrón de información y una lista de sitios web de destino en el equipo de la víctima.
DanaBot es capaz de manipular las sesiones del navegador y redirigir las visitas a los sitios web de los servicios financieros para robar las credenciales enviadas; captura de pantalla en los escritorios, y también es capaz de transferir los datos robados al servidor de comando y control (C2) del malware.
Desde 2018, DanaBot ha actualizado su arsenal. Según Webroot, el malware ha ampliado su alcance y ahora no sólo está activo en Australia, sino también en Estados Unidos y Europa. Nuevos objetivos alemanes han aparecido recientemente en el radar. Cada región está ahora asociada con un ID de campaña para adaptar los correos electrónicos de phishing y los vectores de ataque para obtener los mejores índices de éxito.
DanaBot también ha actualizado sus funciones de inyección de banda. Aunque el malware siempre ha utilizado lo que los investigadores llaman “inyecciones web al estilo ZeuS”, una referencia al conocido troyano bancario ZeuS, el malware también utilizará el navegador y las huellas digitales del sistema operativo para ofrecer “el sitio web falso más creíble posible” al sustituir los dominios bancarios legítimos.
Aunque Webroot no ha encontrado módulos basados en software de rescate durante su investigación, los expertos de Checkpoint afirman que algunas campañas europeas eliminan el software de rescate basado en Delphi llamado “crypt”, que resulta ser una variante del software de rescate “NonRansomware”.
“DanaBot sigue evolucionando sus objetivos geográficos a medida que se añaden más afiliados, y se ha diversificado para probar la funcionalidad del rescate”, explica Webroot. “Este cambio de táctica sin duda se alinea con otros cambios que hemos observado en los que los delincuentes están realizando más reconocimiento inicial para perfilar el valor de una víctima antes de ejecutar el software de rescate de un controlador de dominio. Los actores de las amenazas están reduciendo efectivamente la cantidad de ataques en favor de la calidad cuando eligen perfilar el valor de sus víctimas”.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian