DanaBot再升级:从银行木马到垃圾邮件发送器
新的研究显示,DanaBot似乎已经超越了银行木马的范畴。根据 *** 安全公司ESET的研究,它的运营商最近一直在测试电子邮箱地址收集和垃圾邮件发送功能,能够滥用现有受害者的Webmail帐户来进一步传播恶意软件。
除了这些新特征之外,ESET还发现了DanaBot运营商一直在与GootKit背后的犯罪团伙合作的证据。GootKit是另一种高级木马,一直被认为是某个独立犯罪团伙的私有工具。
使用受害者邮箱发送垃圾邮件
2018年9月份,DanaBot在欧洲的活动开始激增。在分析将几个意大利Webmail服务用户作为攻击目标的样本中,DanaBot的一些新功能引起了ESET的注意。
根据ESET的研究,注入目标Webmail服务页面的JavaScript可以分为两个主要特征:
1.DanaBot从现有受害者的邮箱中收集电子邮箱地址。这是通过在受害者登录后将恶意脚本注入目标Webmail服务的网页、分析受害者的电子邮件,并将其找到的所有电子邮箱地址发送到C&C服务器来实现的。
DanaBot再升级:从银行木马到垃圾邮件发送器
图1.DanaBot收集电子邮箱地址
2.如果目标Webmail服务基于Open-Xchange套件(如流行的意大利Webmail服务libero.it),DanaBot还会注入另一个脚本,该脚本能够使用受害者的邮箱隐秘地将垃圾邮件发送给收集到的电子邮箱地址。
恶意电子邮件将作为对现有受害者邮箱中电子邮件的回复发送,使其看起来像是邮箱所有者发送的。此外,通过这种方式发送的恶意电子邮件将具有有效的数字签名。
值得注意的是,攻击者似乎对包含子字符串“pec”的电子邮箱地址特别感兴趣。这里需要指出的是,pec是posta elettronica certificatad的简称,是意大利使用的一种电子邮箱认证服务。这可能表明,DanaBot的开发者主要关注是使用该认证服务的企业和公共管理机构。
这些电子邮件会被添加上从C&C服务器下载的ZIP附件,其中包含一份诱饵PDF文件和一个恶意VBS文件。执行这个VBS文件,会导致一个PowerShell命令的执行,以下载用于后续攻击的其他恶意软件。
DanaBot再升级:从银行木马到垃圾邮件发送器
图2.用于从C&C服务器下载恶意ZIP文件的代码
DanaBot再升级:从银行木马到垃圾邮件发送器
图3.用于创建电子邮件及添加恶意ZIP附件的代码
DanaBot再升级:从银行木马到垃圾邮件发送器
图4.包含恶意ZIP附件的垃圾邮件样本,来自最近针对意大利的攻击活动(样本来源:VirusTotal
DanaBot再升级:从银行木马到垃圾邮件发送器
图5. ZIP附件所包含的内容
在撰写本文时,具备上述恶意特征的DanaBot仅在意大利被发现,目标服务在本文的最后列出。
DanaBot和GootKit之间的关联
在分析了DanaBot C&C服务器上可用的恶意VBS文件之后,ESET发现它指向了一个GootKit的downloader模块。GootKit是一种高级隐形木马,主要被用于银行欺诈攻击。恶意VBS文件似乎是自动生成的,并且在每次访问时都不同。
值得注意的是,这是ESET首次观察到DanaBot分发其他恶意软件。到目前为止,DanaBot仍被认为是某个独立犯罪团伙的私有工具。而这种情况对于GootKit来说也是首次出现,因为GootKit也被认为某个独立犯罪团伙的私有工具,并没有在地下论坛上出售。有意思的是,ESET在最近还观察到了另一起GootKit被其他恶意软件分发的案例,即最近旨在传播Emotet木马的“黑色星期五和 *** 星期一”垃圾邮件活动。
除了在DanaBot C&C服务器上存在GootKit之外,ESET还发现了进一步的证据,能够证明DanaBot和GootKit的运营商之间正在进行合作。
首先,ESET的遥测显示,在GootKit活动中使用的C&C服务器子网和顶级域名(TLD),同样也被DanaBot所使用。在176.119.1.0/24子网中,DanaBot使用了许多IP地址来充当C&C服务器以及用于重定向。虽然DanaBot域名每隔几天就会发生变化,但.co仍是最常见的TLD(例如,egnacios[.]co、kimshome[.]co等)。
其次,DanaBot和GootKit所使用的.co域名通常都注册于相同的域名注册商,即Todaynic.com, Inc,并且大多数都共享同一服务,即dnspod.com。
最后,在2018年10月29日开始的那一周里,ESET的遥测显示,DanaBot在波兰的活动显著减少,而在同一周,GootKit在波兰的活动明显增加。在这期间,GootKit在波兰的活动中使用了与DanaBot相同的方式进行传播。
DanaBot再升级:从银行木马到垃圾邮件发送器
图6.2018年10月8日至11月8日期间,DanaBot和GootKit在波兰的活动
与其他恶意软件家族的关联
在分析DanaBot时,ESET还注意到,DanaBot配置的一部分具有ESET之前在其他恶意软件家族中看到过的结构,例如Tinba或Zeus。这允许DanaBot的开发者使用类似的Web注入脚本,甚至重用第三方脚本。
值得注意的是,有一些脚本与BackSwap木马所使用的脚本几乎完全相同,包括命名规则和脚本在服务器上的位置。
DanaBot再升级:从银行木马到垃圾邮件发送器
图7.BackSwap(左)和DanaBot(右)所使用脚本的对比。差异以橙色标记
总结
ESET的研究表明,与典型的银行木马相比,DanaBot目前的功能要更加丰富。其运营商会定期为它添加新的功能,测试新的分发载体,并可能正在与其他 *** 犯罪团伙进行合作。
如何做网络营销?很多人对互联网营销不太熟悉,操作起来感觉非常繁杂,感觉做了很多很多,但是收效却很小,本文根据作者十年网络推广经验,为您提炼出18种最有效的网络营销方式。 怎么做网络营销?18种最...
据环球时报报道,2月11日,武昌区政府领导来到武汉同济医院中法新城院区重症监护病房,向2月9日晚因武昌区所辖街道工作人员工作失职,而未能及时妥善安置的重症病人代表当面道歉。 同时进行的,是责令相关街...
当年旅居新加坡的亚美尼亚人杰奎琳无心插柳般的在自家花园中种下了一株看似普通的兰花,虽然当时亚美尼亚人在新加坡属于少数族群,但其巨大的影响力使得这株兰花很快被族群领袖们知晓,再加上这株兰花美艳异常,无论...
不得不说桃花运也分好桃花和烂桃花,要是不小心碰上烂桃花不仅给自己的爱情路带来阻碍,还非常的烦恼。因此桃花在精不在多,那么步入2021年巨蟹座的桃花运怎么样,几月份会有桃花劫呢?马上和小编来详细了解一下...
传记作家David Maraniss饱受期待且极度保密的《奥巴马传》今天终于上架,给我们提供了一窥奥巴马的青葱时代及其家庭史的机会。 尽管行文至第七章,奥巴马才在书中首次出境,但这本书的确提供了不少...
茅台作为国内酱香型白酒的典型代表,其特征是越陈越香,这是茅台酒独特工艺造就的,茅台酒在贮存过程中感官特征更加柔和, 醇厚 丰满,这是由于经过在陶坛中长期贮存,酒体中的乙醇, 水和微量成分在时间的流逝中...