Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Зловред научился шифровать обмен данными с управляющим сервером и ускорил процесс закрепления на пораженной машине.
Исследователи впервые заметили Danabot в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. В его функции входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.
Возможности образцов Danabot, обнаруженных в январе этого года, не претерпели существенных изменений — вирусописатели сосредоточились на доработке архитектуры и укреплении коммуникаций с управляющим сервером.
Так, теперь все пересылаемые данные проходят многоэтапное шифрование, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером:
Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется.
Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отправляется для сохранения.
Именно ключ № 3 используется для передачи дальнейших команд клиенту. При хранении ключа № 3 сервер защищает его с помощью ключа № 1.
Создатели нового поколения Danabot также доработали его архитектуру. Раньше троян использовал специальный загрузчик для доставки ядра, после чего переходил к установке необходимых модулей. Теперь же все компоненты — основной файл, дополнительные плагины и конфигурационные данные — распаковываются одновременно. Установщик при этом добавляет себя в список служб, закрепляясь на компьютере.
Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку. В настоящий момент в Интернете параллельно идут несколько кампаний Danabot, которые можно различить между собой по используемым идентификаторам:
ID=2 — пробный дистрибутив, распространяет ограниченное количество файлов с настройками;
ID=3 — активно заражает компьютеры в Польше и Италии, работает с веб-инжектами и полным набором конфигурационных данных;
ID=5 — отправляет данные с настройками австралийским пользователям;
ID=7 — действует только в Польше, где проводит веб-инжекты;
ID=9 — еще одна пробная версия с ограниченной зоной распространения без четкого таргетинга.
Предыдущие поколения Danabot также распространялись через эксплойт-паки. Злоумышленники собирали жертв через рекламу на сомнительных интернет-ресурсах и устанавливали зловред через уязвимости Windows и Internet Explorer.
Источник: https://threatpost.ru/danabot-gets-all-secret-and-stuff/31000/