研究人員報(bào)告稱，經(jīng)過幾個(gè)月的神秘沉寂后，第四版的DanaBot銀行木馬終于浮出水面。鑒于過去的DanaBot有效活動(dòng)的數(shù)量眾多，研究人員仍在對(duì)最新的變體進(jìn)行分析。

根據(jù)Proofpoint的說法，從2018年5月到2020年6月，DanaBot一直是犯罪軟件威脅領(lǐng)域的固定裝置，該公司于2018年首次發(fā)現(xiàn)了該惡意軟件，并在周二發(fā)布了一份關(guān)于最新變種的匯報(bào)。

[[381413]]

“從2020年10月下旬開始，我們觀察到VirusTotal中出現(xiàn)的DanaBot樣本有了重大更新，” Dennis Schwarz，Axel F.和Brandon Murphy在星期二發(fā)布的合作報(bào)告中寫道。“雖然DanaBot尚未恢復(fù)到以前的規(guī)模，但它卻是防御者應(yīng)重新關(guān)注的惡意軟件。”

破壞者DanaBot

DanaBot是一種銀行木馬，它首先通過包含惡意URL的電子郵件將澳大利亞的用戶作為目標(biāo)。然后，罪犯分子開發(fā)了第二種變體并瞄準(zhǔn)了美國公司，這是一系列大規(guī)模運(yùn)動(dòng)的一部分。據(jù)發(fā)現(xiàn)它的ESET研究人員稱，第三種變體于2019年2月浮出水面，并且其遠(yuǎn)程命令和控制功能得到了顯著增強(qiáng)。

Proofpoint最近發(fā)現(xiàn)的第四版非常特殊，因此研究人員的報(bào)告仍不清楚該惡意軟件具有哪些特定的新功能。Proofpoint也沒有回復(fù)媒體的訊問。

與以前的活動(dòng)相比，星期二的報(bào)告表明，這種最新的變體大多帶有與以前相同的致命工具庫，主要功能包括ToR組件，用于匿名破壞者和受感染硬件之間的通信。

“正如DanaBot控制面板中先前報(bào)道的那樣，我們認(rèn)為DanaBot被設(shè)置為一種 ‘malware as a service(MaaS)’，其中一個(gè)威脅行為者控制著一個(gè)全球指揮與控制(C&C)面板和基礎(chǔ)架構(gòu)，然后將訪問權(quán)限出售給其他被稱為分支機(jī)構(gòu)的威脅參與者。”研究人員寫道。

DanaBot的核心

一般來說，DanaBot的多階段感染鏈?zhǔn)加谝粋€(gè)dropper，該dropper會(huì)觸發(fā)黑客的級(jí)聯(lián)進(jìn)化，這些措施包括竊取網(wǎng)絡(luò)請(qǐng)求、竊取應(yīng)用程序和服務(wù)憑據(jù)、敏感信息的數(shù)據(jù)泄露、間諜軟件的桌面截圖以及投放cryptominer將目標(biāo)PC變成加密貨幣工蜂。

通過當(dāng)前的分析，Proofpoint側(cè)重于惡意軟件“主要組件”內(nèi)的具體技術(shù)變化，該惡意軟件在這方面包括反分析功能，以及：

• 某些Windows API函數(shù)在運(yùn)行時(shí)解析。
• 當(dāng)一個(gè)與惡意軟件相關(guān)的文件被讀取或?qū)懭胛募到y(tǒng)時(shí)，它是在良性誘餌文件讀取或?qū)懭脒^程中完成的。
• 通過創(chuàng)建一個(gè)LNK文件來維護(hù)持久性，該文件將執(zhí)行用戶的Startup目錄中的主要組件。

LNK文件(或Windows快捷方式文件)是每當(dāng)用戶打開文件時(shí)Windows自動(dòng)創(chuàng)建的文件。Windows使用這些文件將文件類型連接到用于查看或編輯數(shù)字內(nèi)容的特定應(yīng)用程序。

確定的增量更新

利用此新變體，研究人員確定了幾個(gè)新的分支ID，這表明DanaBot的malware-as-a-service組件非?；钴S并且在不斷增長。此外，還發(fā)現(xiàn)了應(yīng)對(duì)感染的新策略和新技術(shù)。

“Proofpoint研究人員能夠?qū)⒅辽僖环NDanaBot傳播方法縮小到各種軟件警告和破解網(wǎng)站，這些網(wǎng)站據(jù)稱可以免費(fèi)下載軟件密鑰和破解方法，包括防病毒程序、虛擬專用網(wǎng)、圖形編輯器、文檔編輯器和游戲”，研究人員寫道。

從這些站點(diǎn)下載的非法內(nèi)容或warez工具被標(biāo)記為該最新第四種變體的初始感染點(diǎn)。這個(gè)推廣軟件密鑰生成器的網(wǎng)站，誘使用戶以為他們正在下載程序破解，但實(shí)際上warez文件“包含多個(gè)'README'文件和一個(gè)受密碼保護(hù)的檔案，其中包含惡意軟件捆綁包的初始放置程序，‘setup_x86_x64_install.exe,'，” Proofpoint寫道。

“一些使用[DanaBot]的分支機(jī)構(gòu)繼續(xù)使用其他銀行惡意軟件(例如Ursnif和Zloader)開展其活動(dòng)。目前尚不清楚是由于COVID-19，還是與其他銀行惡意軟件的競爭，亦或是重新開發(fā)時(shí)間等原因?qū)е铝诉@個(gè)下降，但DanaBot似乎又回來了，并試圖在威脅領(lǐng)域重新站穩(wěn)腳跟，”研究人員總結(jié)說。

本文翻譯自：https://threatpost.com/danabot-malware-roars-back/163358/