Нова версия на банковия троянец DanaBot се разпраща сама до контактите в имейла
Спам кампанията таргетира Италия, но малуерът е бил засичан в страни от цял свят
Нова спам кампания с банковия троянец DanaBot инжектира зловреден код в популярни уебмейл продукти като RoundCube и Horde. Това позволява на малуера да се разпространява до контактите в заразените пощенски кутии.
Според анализаторите на ESET това е нова функционалност в DanaBot, която позволява да се нанесат по-големи поражения в сравнение с преди. „Изследването ни показва, че DanaBot има много по-широк обхват от типичния банков троянски кон. Хората, които го управляват добавят постоянно нови функции, тестват различни вектори за заразяване и вероятно си сътрудничат с други компютърни престъпници“, коментират от ESET.
Основната цел на DanaBot е да събере информация за достъпа до онлайн банкиране на заразените потребители. Експертите на ESET са забелязали, че обновената версия на малуера може да инжектира JavaScript код в пощите на потребителите, които използват уебмейл услуга, базирана на Roundcube, Horde и Open-Xchange. Кодът събира имейлите от списъка с контакти на потребителя и ги изпраща до команден сървър.
Ако имейл услугата е базирана на Open-Xchange, кодът може да изпраща имейли до тези контакти от името на заразения потребител. Изпратените зловредни имейли са като отговор на вече получени писма. Тази тактика увеличава вероятността имейлите да бъдат отворени. Имейлите съдържат зловреден PDF файл, в който е скрит VBS скрипт. Той задейства свалянето на малуера.
Според ESET кампанията е насочена предимно към държавни и частни организации в Италия. DanaBot обаче е бил засичан в кампании, таргетиращи потребители в редица други страни като Австралия, САЩ, Германия, Австрия, Полша и Украйна.
След като инфектира устройството, DanaBot започва да следи онлайн активността на потребителя и по-точно порталите за онлйан банкиране. Новата версия на малуера се отличава и с това, че съдържа функция за инфектиране с друг малуер – GootKit.
Това е нетипично, защото GootKit, за който се знае от 2014 г. насам, досега се използваше самостоятелно само от една хакерска група. „Това е първият случай, в който виждаме DanaBot да дистрибутира друг малуер. Досега DanaBot се управляваше от затворена група хакери. Същото важи за GootKit, който се използва само от една определена група хакери и не се продава в нелегалните форуми“, посочват от ESET.