不仅仅是银行木马,DanaBot添加新功能

不仅仅是银行木马,DanaBot添加新功能

DanaBot似乎已经超出了银行木马的类别。根据ESET的研究,其开发者最近一直在试验电子邮件地址收集和垃圾邮件发送功能,能够滥用现有受害者的网络邮件帐户进行进一步的恶意软件分发。

除了这些新功能之外,研究人员还发现DanaBot开发者与GootKitkaif开发者合作,GootKit是另一种功能强大的特洛伊木马——非典型的独立运营组织。

从受害者的邮箱发送垃圾邮件

在分析用于定位几个意大利网络邮件服务用户的webinjects时,之前未报告的功能引起了研究人员的注意,这是在2018年9月在欧洲发现的DanaBot新功能的一部分。

根据研究,注入目标网络邮件服务页面的JavaScript可以分为两个主要特征:

1.DanaBot从现有受害者的邮箱中收集电子邮件地址。这种功能是通过在受害者登录后将恶意脚本注入目标网络邮件服务的网页,处理受害者的电子邮件并将其找到的所有电子邮件地址发送到C&C服务器来实现的。

不仅仅是银行木马,DanaBot添加新功能

DanaBot收集邮箱地址

2.如果目标网络邮件服务基于Open-Xchange套件——例如,意大利流行的网络邮件服务libero.it——DanaBot还会注入一个脚本,该脚本能够使用受害者的邮箱悄悄给已收集的电子邮件地址发送垃圾邮件。

恶意电子邮件将作为对受感染邮箱中的实际电子邮件的回复发送,使其看起来好像是邮箱所有者自己正在发送邮件。此外,发送的恶意电子邮件还具有有效的数字签名。

有趣的是,攻击者似乎对包含子字符串“pec”的电子邮件地址特别感兴趣,该字符串位于意大利特有的“经过认证的电子邮件”地址中。这表明DanaBot的开发者专注于攻击最有可能使用此认证服务的公司和公共管理电子邮件。

电子邮件包括从攻击者服务器预先下载的ZIP附件,其中包含诱饵PDF文件和恶意VBS文件。执行VBS文件后DanaBot会使用PowerShell命令下载更多恶意软件。

不仅仅是银行木马,DanaBot添加新功能

从C&C服务器下载恶意ZIP的代码

不仅仅是银行木马,DanaBot添加新功能

创建电子邮件和添加恶意ZIP附件的代码

不仅仅是银行木马,DanaBot添加新功能

垃圾邮件示例

不仅仅是银行木马,DanaBot添加新功能

ZIP附件内容示例

在撰写本文时,上述恶意功能仅针对意大利。

DanaBotGootKit之间的联系

在分析了DanaBot的C&C服务器上可用的恶意VBS文件后,研究人员发现它指向GootKit的下载器模块,GootKit是一种主要用于银行欺诈攻击的高级隐形木马。恶意VBS文件似乎是自动生成的,并且在每次访问时都是不同的。

这是研究人员第一次看到DanaBot分发其他恶意软件的指标。到目前为止,据信DanaBot由一个封闭的团体经营。这一现象对于GootKit来说也是第一次出现,GootKit一直被称为一种私有工具,不在地下论坛上销售,也由一个封闭的团体运营。然而,研究人员最近看到另一个GootKit被其他恶意软件分发的实例,即臭名昭著的Emotet Trojan在其最新活动中分发了GootKit。

除了在DanaBot使用的服务器上发现了GootKit之外,研究人员还发现DanaBot和GootKit的开发者之间有合作关系。

首先,ESET的遥测在DanaBot使用的C&C服务器子网和顶级域名(TLD)里发现了GootKit活动的踪迹。DanaBot在176.119.1.0/24子网中使用许多IP地址进行C&C和重定向(参见IoC)。虽然DanaBot域名每隔几天就会发生变化,但.co是最常见的TLD(例如egnacios[.]co, kimshome[.]co, etc.等)。由DanaBot的C&C上的恶意负载下载的GootKit样本有funetax[.]co和reltinks[.]co作为他们的C&C。

其次,DanaBot和GootKit域名通常与其.co域名共享相同的域名注册商,即Todaynic.com, Inc,并且大多数共享同一名称服务器dnspod.com。

最后,从2018年10月29日开始的那一周,ESET的遥测显示DanaBot在波兰的分发显著减少; 在同一周,波兰的GootKit活动激增。在飙升期间,GootKit在最近的波兰活动中使用与DanaBot相同的分发方法进行传播。

不仅仅是银行木马,DanaBot添加新功能

2018年10月8日至11月8日期间波兰的DanaBot和GootKit活动

与其他恶意软件的相同点

在分析DanaBot时,研究人员还注意到DanaBot配置的一部分具有之前在其他恶意软件系列中看到的结构,例如Tinba或Zeus,这允许其开发人员使用类似的webinject脚本甚至重用第三方脚本。

一些脚本几乎与BackSwap木马所使用的脚本完全相同,包括命名约定和脚本在服务器上的位置。

不仅仅是银行木马,DanaBot添加新功能

结论

研究表明,DanaBot的使用范围比典型的银行木马更广泛,其开发者定期为其添加新功能、测试新的分发载体、还与其他网络犯罪团伙合作。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/133277.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code