DanaBot Malware vuelve a ser el centro de atención - Calendae | Informática, Electrónica, CMS, Ciberseguridad

DanaBot Malware vuelve a ser el centro de atención

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y hoy hablaremos sobre DanaBot Malware vuelve a ser el centro de atención

DanaBot Malware vuelve a ser el centro de atención

Sofisticado y peligroso, DanaBot ha resurgido después de estar inactivo durante siete meses.

Los investigadores advierten que ha surgido una nueva cuarta versión del troyano bancario DanaBot después de meses de misterioso silencio. La última cepa, aún bajo investigación por parte de los investigadores, genera preocupación dada la cantidad de campañas exitosas de DanaBot en el pasado.

Desde mayo de 2018 hasta junio de 2020, DanaBot fue un elemento fijo en el panorama de amenazas de crimeware, según Proofpoint, que descubrió el malware por primera vez en 2018 y publicó un informe sobre la última variante el martes.

«A finales de octubre de 2020, hemos visto una actualización significativa de las muestras de DanaBot que aparecen en VirusTotal», escribieron Dennis Schwarz, Axel F. y Brandon Murphy, en el informe colaborativo del martes. «Si bien no ha vuelto a su escala anterior, DanaBot es un malware que los defensores deberían volver a poner en su radar».

DanaBot es un troyano bancario que primero apuntó a los usuarios en Australia a través de correos electrónicos que contienen URL maliciosas. Luego, los delincuentes desarrollaron una segunda variante y apuntaron a empresas estadounidenses como parte de una serie de campañas a gran escala. Una tercera variante surgió en febrero de 2019 que se mejoró significativamente con la funcionalidad de control y comando remoto, según el Investigadores de ESET que han descubierto eso.

Aunque la cuarta versión más reciente, encontrada por Proofpoint, es única, no está claro en el informe reciente del investigador qué características nuevas específicas, si las hay, tiene hoy el malware. Proofpoint no respondió a las consultas de la prensa.

En comparación con campañas anteriores, el informe del martes sugiere que esta variante más nueva viene principalmente con el mismo arsenal mortal de herramientas que venía antes. Las características clave incluyen un componente ToR para anonimizar las comunicaciones entre los atacantes y el hardware infectado.

Como se informó anteriormente en el Panel de control de DanaBot, creemos que DanaBot está configurado como un « malware como servicio » en el que un actor de amenazas controla un panel e infraestructura de comando y control global (C&C) y luego vende el acceso a otros actores de amenazas conocidos como afiliados «, escribieron los investigadores.

En general, la cadena de infección de múltiples etapas de DanaBot comienza con un gotero que desencadena una evolución en cascada de hacks. Estos incluyen el robo de solicitudes de red, el robo de credenciales de aplicaciones y servicios, la exfiltración de datos de información confidencial, la infección de ransomware, el espionaje de capturas de pantalla de escritorio y la liberación de un criptominer para convertir las PC específicas en abejas que trabajan con criptomonedas.

Con su análisis actual, Proofpoint se ha centrado en cambios técnicos específicos dentro del «componente central» del malware. Ese aspecto del malware incluía capacidades anti-análisis junto con:

  • Algunas funciones de la API de Windows se corrigen en tiempo de ejecución.
  • Cuando un archivo relacionado con malware se lee o se escribe en el sistema de archivos, se ejecuta mientras se lee o escribe archivos benignos de yesca.
  • La persistencia se mantiene creando un archivo LNK que ejecuta el componente raíz en el directorio de inicio del usuario.

Los archivos LNK (o archivos de acceso directo de Windows) son archivos creados automáticamente por Windows, cada vez que un usuario abre sus archivos. Windows utiliza estos archivos para vincular un tipo de archivo a una aplicación específica que se utiliza para ver o editar contenido digital.

Actualizaciones incrementales identificadas

Con esta nueva variante, los investigadores identificaron varias nuevas ID de afiliados, lo que sugiere que el componente de malware como servicio de DanaBot era muy activo y estaba creciendo. También se han informado nuevas tácticas y técnicas de infección.

«Los investigadores de Proofpoint pudieron restringir al menos uno de los métodos de distribución de DanaBot a varios sitios web de software warez y crack que supuestamente ofrecen claves de software y cracks para una descarga gratuita, incluidos programas antivirus, VPN, editores gráficos, editores de documentos y juegos». escribieron los investigadores.

El contenido ilegal o las herramientas warez descargadas de estos sitios se identifican como los puntos iniciales de infección para esta última cuarta variante. Un sitio, que promocionaba un generador de claves de software, engañaba y cambiaba a los usuarios que pensaban que estaban descargando un crack del programa, pero en realidad el archivo warez «contenía varios archivos» README «y un archivo protegido con contraseña que contenía el dropper inicial del paquete. malware, «setup_x86_x64_install.exe» «, escribió Proofpoint.

«Algunos de los afiliados que utilizaron [DanaBot] continuaron sus campañas utilizando otro malware bancario (por ejemplo, Ursnif y Zloader). No está claro si COVID-19, la competencia de otro malware bancario, el tiempo de reentrenamiento o algo más causó la caída, pero parece que DanaBot está de regreso y está tratando de recuperar su punto de apoyo en el panorama de las amenazas «, concluyeron los investigadores.

.

Recuerda compartir en en tu Twitter y Facebook para que tus colegas lo lean

??? ? ? ???

Comparte