بانک‌های آمریکایی هدف جدید تروجان بانکی دانابات «DanaBot»

بررسی‌های جدید محققان امنیتی نشان می‌دهد که بانک‌های آمریکایی، هدف جدید بدافزار دانابات قرار گرفته‌اند. این بدافزار بانکی، پیش از این کشورهای لهستان، ایتالیا، آلمان، اتریش و اکراین را مورد هدف قرار داده بود و گفته می‌شود در حال حاضر سازندگان آن، از دانابات برای ارائه خدمات بدافزاری استفاده می‌کنند.
تروجان دانابات در آمریکا

براساس گزارش‌های منتشر شده، بررسی‌های کارشناسان امنیتی نشان می‌دهد که دانابات «DanaBot» به طور فعالانه در حال توسعه است. این تروجان بانکی ابتدا کاربران استرالیایی و لهستانی را مورد هدف قرار داده و سپس در کشورهای دیگری همچون ایتالیا، آلمان، اتریش و از سپتامبر ۲۰۱۸ نیز در اوکراین گسترش یافته است.

به گفته پروف‌پوینت، در حال حاضر مهاجمان دانابات از حمله جدیدی رونمایی کرده‌اند که کاربران بانک‌های ایالات متحده را نیز مورد هدف قرار داده است. کارشناسان این شرکت، کمپین‌های مختلفی را با شناسه‌های متفاوت که با سرورهای این بدافزار در ارتباط هستند، تحت نظارت قرار داده‌اند که احتمال می‌رود سازندگان این بدافزار، از مدل تجاری ارائه خدمات بدافزاری به عنوان سرویس «malware-as-a-service» پیروی می‌کند.

براساس اطلاعات موجود، این تروجان از طریق کمپین هرزنامه ایمیلی در آمریکای شمالی در حال گسترش بوده و تظاهر می‌کند که فکس دیجیتالی ارسال شده از طرف eFax است.

ایمیل آلوده به تروجان دانابات

لینک دانلود معرفی شده در این هرزنامه، یک فایل ورد آلوده (سند متنی) را از اینترنت دریافت می‌کند که پس از دانلود و اجرا، کدهای مخرب جاسازی شده در آن بدافزار Hancitor را اجرا کرده و بلافاصله بدافزار Pony stealer و تروجان بانکی DanaBot را دریافت می‌کند. مجموعه‌ای از بدافزارهای مخرب که امکان انجام عملیات‌های گوناگون در دستگاه‌های قربانیان را برای مهاجمان فراهم می‌سازد.

علاوه براین، کارشناسان پروف‌پوینت در گزارش خود به شباهت‌های تروجان دانابات و باج‌افزار CryptXXX اشاره کرده‌اند که از پورت ۴۴۳ در پروتکل TCP برای ارتباط با سرورهای فرمان و کنترل استفاده می‌کنند.

پروف‌پوینت احتمال می‌دهد سرورهای فرمان و کنترل تروجان دانابات، از رمزگذاری‌ AES و فشرده‌سازی‌ Zlib‌ به‌شکل تکامل یافته‌ای استفاده می‌کند.

محققان امنیتی باور دارند که توسعه‌دهندگان دانابات، این تروجان را در سیر تکاملی باج‌افزار CryptXXX ایجاد کرده‌اند که بتوانند از آن برای اهداف مجرمانه‌ی خود، به‌صورت کامل بهره‌برداری کنند.

 

 

توضیحات بیشتر در:

-  New Danabot Banking Malware campaign now targets banks in the U.S

- DanaBot - A new banking Trojan surfaces Down Under