______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

ИБ-экспертам стало сложнее следить за трояном Danabot

Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Зловред научился шифровать обмен данными с управляющим сервером и ускорил процесс закрепления на пораженной машине.

Исследователи впервые заметили Danabot в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. В его функции входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.

Возможности образцов Danabot, обнаруженных в январе этого года, не претерпели существенных изменений — вирусописатели сосредоточились на доработке архитектуры и укреплении коммуникаций с управляющим сервером.

Так, теперь все пересылаемые данные проходят многоэтапное шифрование, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером:

  1. Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется.
  2. Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отсылается для сохранения.
  3. Именно ключ № 3 используется для передачи дальнейших команд клиенту. При хранении ключа № 3 сервер защищает его с помощью ключа № 1.

Создатели нового поколения Danabot также доработали его архитектуру. Раньше троян использовал специальный загрузчик для доставки основного модуля, который затем скачивал дополнительные плагины и конфигурационные данные. Теперь же все компоненты распаковываются одновременно. Новый загрузчик при этом добавляет себя в список служб, закрепляясь на компьютере.

Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку. В настоящий момент в Интернете параллельно идут несколько кампаний Danabot, которые можно различить между собой по используемым идентификаторам:

  • ID=2 — пробный дистрибутив, распространяет ограниченное количество файлов с настройками;
  • ID=3 — активно заражает компьютеры в Польше и Италии, работает с веб-инжектами и полным набором конфигурационных данных;
  • ID=5 — отправляет данные с настройками австралийским пользователям;
  • ID=7 — действует только в Польше, где проводит веб-инжекты;
  • ID=9 — еще одна пробная версия с ограниченной зоной распространения без четкого таргетинга.

Предыдущие поколения Danabot также распространялись через эксплойт-паки. Злоумышленники собирали жертв через рекламу на сомнительных интернет-ресурсах и устанавливали зловред через уязвимости Windows и Internet Explorer.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх