DanaBot再升级:从银行木马到垃圾邮件发送器
新的研究显示,DanaBot似乎已经超越了银行木马的范畴。根据 *** 安全公司ESET的研究,它的运营商最近一直在测试电子邮箱地址收集和垃圾邮件发送功能,能够滥用现有受害者的Webmail帐户来进一步传播恶意软件。
除了这些新特征之外,ESET还发现了DanaBot运营商一直在与GootKit背后的犯罪团伙合作的证据。GootKit是另一种高级木马,一直被认为是某个独立犯罪团伙的私有工具。
使用受害者邮箱发送垃圾邮件
2018年9月份,DanaBot在欧洲的活动开始激增。在分析将几个意大利Webmail服务用户作为攻击目标的样本中,DanaBot的一些新功能引起了ESET的注意。
根据ESET的研究,注入目标Webmail服务页面的JavaScript可以分为两个主要特征:
1.DanaBot从现有受害者的邮箱中收集电子邮箱地址。这是通过在受害者登录后将恶意脚本注入目标Webmail服务的网页、分析受害者的电子邮件,并将其找到的所有电子邮箱地址发送到C&C服务器来实现的。
DanaBot再升级:从银行木马到垃圾邮件发送器
图1.DanaBot收集电子邮箱地址
2.如果目标Webmail服务基于Open-Xchange套件(如流行的意大利Webmail服务libero.it),DanaBot还会注入另一个脚本,该脚本能够使用受害者的邮箱隐秘地将垃圾邮件发送给收集到的电子邮箱地址。
恶意电子邮件将作为对现有受害者邮箱中电子邮件的回复发送,使其看起来像是邮箱所有者发送的。此外,通过这种方式发送的恶意电子邮件将具有有效的数字签名。
值得注意的是,攻击者似乎对包含子字符串“pec”的电子邮箱地址特别感兴趣。这里需要指出的是,pec是posta elettronica certificatad的简称,是意大利使用的一种电子邮箱认证服务。这可能表明,DanaBot的开发者主要关注是使用该认证服务的企业和公共管理机构。
这些电子邮件会被添加上从C&C服务器下载的ZIP附件,其中包含一份诱饵PDF文件和一个恶意VBS文件。执行这个VBS文件,会导致一个PowerShell命令的执行,以下载用于后续攻击的其他恶意软件。
DanaBot再升级:从银行木马到垃圾邮件发送器
图2.用于从C&C服务器下载恶意ZIP文件的代码
DanaBot再升级:从银行木马到垃圾邮件发送器
图3.用于创建电子邮件及添加恶意ZIP附件的代码
DanaBot再升级:从银行木马到垃圾邮件发送器
图4.包含恶意ZIP附件的垃圾邮件样本,来自最近针对意大利的攻击活动(样本来源:VirusTotal
DanaBot再升级:从银行木马到垃圾邮件发送器
图5. ZIP附件所包含的内容
在撰写本文时,具备上述恶意特征的DanaBot仅在意大利被发现,目标服务在本文的最后列出。
DanaBot和GootKit之间的关联
在分析了DanaBot C&C服务器上可用的恶意VBS文件之后,ESET发现它指向了一个GootKit的downloader模块。GootKit是一种高级隐形木马,主要被用于银行欺诈攻击。恶意VBS文件似乎是自动生成的,并且在每次访问时都不同。
值得注意的是,这是ESET首次观察到DanaBot分发其他恶意软件。到目前为止,DanaBot仍被认为是某个独立犯罪团伙的私有工具。而这种情况对于GootKit来说也是首次出现,因为GootKit也被认为某个独立犯罪团伙的私有工具,并没有在地下论坛上出售。有意思的是,ESET在最近还观察到了另一起GootKit被其他恶意软件分发的案例,即最近旨在传播Emotet木马的“黑色星期五和 *** 星期一”垃圾邮件活动。
除了在DanaBot C&C服务器上存在GootKit之外,ESET还发现了进一步的证据,能够证明DanaBot和GootKit的运营商之间正在进行合作。
首先,ESET的遥测显示,在GootKit活动中使用的C&C服务器子网和顶级域名(TLD),同样也被DanaBot所使用。在176.119.1.0/24子网中,DanaBot使用了许多IP地址来充当C&C服务器以及用于重定向。虽然DanaBot域名每隔几天就会发生变化,但.co仍是最常见的TLD(例如,egnacios[.]co、kimshome[.]co等)。
其次,DanaBot和GootKit所使用的.co域名通常都注册于相同的域名注册商,即Todaynic.com, Inc,并且大多数都共享同一服务,即dnspod.com。
最后,在2018年10月29日开始的那一周里,ESET的遥测显示,DanaBot在波兰的活动显著减少,而在同一周,GootKit在波兰的活动明显增加。在这期间,GootKit在波兰的活动中使用了与DanaBot相同的方式进行传播。
DanaBot再升级:从银行木马到垃圾邮件发送器
图6.2018年10月8日至11月8日期间,DanaBot和GootKit在波兰的活动
与其他恶意软件家族的关联
在分析DanaBot时,ESET还注意到,DanaBot配置的一部分具有ESET之前在其他恶意软件家族中看到过的结构,例如Tinba或Zeus。这允许DanaBot的开发者使用类似的Web注入脚本,甚至重用第三方脚本。
值得注意的是,有一些脚本与BackSwap木马所使用的脚本几乎完全相同,包括命名规则和脚本在服务器上的位置。
DanaBot再升级:从银行木马到垃圾邮件发送器
图7.BackSwap(左)和DanaBot(右)所使用脚本的对比。差异以橙色标记
总结
ESET的研究表明,与典型的银行木马相比,DanaBot目前的功能要更加丰富。其运营商会定期为它添加新的功能,测试新的分发载体,并可能正在与其他 *** 犯罪团伙进行合作。
在我们中国,有许多的街边美食,许多上班族来不及做早饭,经常都会在街边买的吃。今天我们就来盘点一下如今中国非常火爆的6种早餐美食,如果你吃过三种以上,那么一定是个真正的吃货。 1、油条 不...
在国务院新闻办公室今天(23日)举行的新闻发布会上,教育部副部长郑富芝介绍,教育部把打赢教育脱贫攻坚战、实现义务教育有保障作为重大政治任务,一手抓“控辍”,一手抓“保学”,扎实推进保障义务教育各项工作...
主图视频往往起着至关重要的作用,它是提高客户转化率的关键,很多人觉得要采集淘宝、天猫、京东、生意网等电商平台的主图视频很麻烦,其实是工具的问题,工具找对了,批量采集主图视频就变得轻松了,如果你正在寻找...
改住单怎么找黑客 1、接单撒找黑客旦的魔影,改住单正规接单平台包括国内银行,目前,并生下了基努。黑客2,HTTP状态,可以直接恢复。这群人往往被称做,刚才你说要告诉我一个好消息,是什么呀。改住单380...
短篇神话故事(中国神话故事100篇) 中国神话,是我国上古时期传统文化的产物,反映了早期华夏儿女淳朴的思想以及古代人们对自然现象及社会生活的原始幻想,并通过超自然的形象和幻想的形式来表现的故事...
美国代理国防部长克里斯托弗·米勒(Christopher Miller)于当地时间1月7日发表一份声明称,美国国会大厦抗议冲突事件与美国宪法的宗旨背道而驰,应受到强烈谴责。 声明中,米勒赞扬...