براساس گزارشهای منتشر شده، بررسیهای کارشناسان امنیتی نشان میدهد که دانابات «DanaBot» به طور فعالانه در حال توسعه است. این تروجان بانکی ابتدا کاربران استرالیایی و لهستانی را مورد هدف قرار داده و سپس در کشورهای دیگری همچون ایتالیا، آلمان، اتریش و از سپتامبر ۲۰۱۸ نیز در اوکراین گسترش یافته است.
به گفته پروفپوینت، در حال حاضر مهاجمان دانابات از حمله جدیدی رونمایی کردهاند که کاربران بانکهای ایالات متحده را نیز مورد هدف قرار داده است. کارشناسان این شرکت، کمپینهای مختلفی را با شناسههای متفاوت که با سرورهای این بدافزار در ارتباط هستند، تحت نظارت قرار دادهاند که احتمال میرود سازندگان این بدافزار، از مدل تجاری ارائه خدمات بدافزاری به عنوان سرویس «malware-as-a-service» پیروی میکند.
براساس اطلاعات موجود، این تروجان از طریق کمپین هرزنامه ایمیلی در آمریکای شمالی در حال گسترش بوده و تظاهر میکند که فکس دیجیتالی ارسال شده از طرف eFax است.
لینک دانلود معرفی شده در این هرزنامه، یک فایل ورد آلوده (سند متنی) را از اینترنت دریافت میکند که پس از دانلود و اجرا، کدهای مخرب جاسازی شده در آن بدافزار Hancitor را اجرا کرده و بلافاصله بدافزار Pony stealer و تروجان بانکی DanaBot را دریافت میکند. مجموعهای از بدافزارهای مخرب که امکان انجام عملیاتهای گوناگون در دستگاههای قربانیان را برای مهاجمان فراهم میسازد.
علاوه براین، کارشناسان پروفپوینت در گزارش خود به شباهتهای تروجان دانابات و باجافزار CryptXXX اشاره کردهاند که از پورت ۴۴۳ در پروتکل TCP برای ارتباط با سرورهای فرمان و کنترل استفاده میکنند.
پروفپوینت احتمال میدهد سرورهای فرمان و کنترل تروجان دانابات، از رمزگذاری AES و فشردهسازی Zlib بهشکل تکامل یافتهای استفاده میکند.
محققان امنیتی باور دارند که توسعهدهندگان دانابات، این تروجان را در سیر تکاملی باجافزار CryptXXX ایجاد کردهاند که بتوانند از آن برای اهداف مجرمانهی خود، بهصورت کامل بهرهبرداری کنند.
توضیحات بیشتر در:
- New Danabot Banking Malware campaign now targets banks in the U.S
- DanaBot - A new banking Trojan surfaces Down Under