信息来源:mottoin
Check PointDE 安全研究人员在最近一次活动中发现了DanaBot木马的新样本,其显示该木马背后的运营者现已在其代码中加入了勒索软件组件,以及新的字符串加密和通信协议。
DanaBot木马
2018年Proofpoint的研究人员首次报道了关于DanaBot的早期版本,当时它被认为是一种新颖的银行木马,通过包含恶意URL的电子邮件针对澳大利亚和加拿大客户的网络钓鱼发起攻击,其包含网络注入和窃取器功能。
这些钓鱼邮件使用了“核对收费帐单”的主题,如果用户点开了Word附件里的网址,那就会被重定向到其他网站上,比如hxxp://users[.]tpg[.]com[.]au/angelcorp2001/Account+Statement_Mon752018.doc。
2018年5月6日DanaBot活动的电子邮件样本
该木马具有以下功能:
-
窃取浏览器和FTP客户端凭据;
-
收集加密钱包凭据;
-
在受感染的计算机上运行代理;
-
执行Zeus风格的网络注入;
-
截取屏幕截图和录制视频;
-
通过RDP或VNC提供远程控制;
-
通过TOR请求更新;
-
使用WUSA漏洞绕过UAC;
-
从C&C服务器请求更新并执行命令。
根据Check Point的说法,自首次亮相以来,DanaBot的活动范围已遍布澳大利亚、新西兰、美国和加拿大,最近的DanaBot活动已经蔓延至欧洲。
针对不同国家的活动
DanaBot木马重大升级
Check Point研究人员周四发布文章表示,此次更新是DanaBot木马的重大升级。然而,研究人员还报告说,他们已经设计出一种可能的方法来恢复由新添加的DanaBot勒索软件组件加密的文件。
“近一年来,DanaBot一直在扩展其功能并演变成更复杂的威胁,”Check Point研究人员Yaroslav Harakhavik和Aliaksandr Chailytko在对该木马最新组件的描述中写道,“我们认为背后的运营者还将继续更多升级。”
Check Point在今年5月发现DanaBot木马中添加了勒索软件组件。样本表明运营商已经增添了NonRansomware的某个变种。根据Check Point的说法,NonRansomware勒索软件会扫描本地驱动器上的文件并加密除Windows目录之外的所有文件。被加密文件的扩展名为.non,而勒索通知(HowToBackFiles.txt)被放置在每个包含加密文件的目录中(AES128)。
DanaBot现在正在部署包含以Delphi编程语言编写的勒索软件的可执行文件。其他功能包括窃取浏览器凭据、运行本地代理以操纵Web流量,以及在目标系统上启动远程桌面控制。
该木马最初的感染手段仍然是网络犯罪分子常用的网络钓鱼攻击。攻击者发送信息诱使收件人下载VBS脚本的附件,该脚本用作DanaBot的部署器。今年1月,DanaBot下载器改变了它的通信协议,用AES256加密进行混淆。ESET详细介绍了新的通信协议。AES256代表高级加密标准,在此环境下允许运营者隐藏其客户端与攻击者操作的C2服务器之间的通信。
已有加密恢复工具
Check Point能够设计一种方法来恢复被加密的文件,具体方法是使用已知的受害者ID,使用密码暴力强制调用所有加密文件的DecodeFile函数。用于文件解密的工具可以在其发布的DanaBot报告中找到。
下载链接:
https://research.checkpoint.com/wp-content/uploads/2019/06/NonDecryptor.zip
Check Point最后指出,勒索软件仍然是网络犯罪分子的稳定收入来源。
