Το κακόβουλο λογισμικό DanaBot επέστρεψε με μια νέα έκδοση που παρατηρήθηκε σε επιθέσεις, έξι μήνες αφότου η Operation Endgame των αρχών επιβολής του νόμου διέκοψε τη δραστηριότητά του τον Μάιο.
Σύμφωνα με ερευνητές ασφαλείας στο Zscaler ThreatLabz, υπάρχει μια νέα παραλλαγή του DanaBot, έκδοση 669, που διαθέτει υποδομή εντολών και ελέγχου (C2) που χρησιμοποιεί τομείς Tor (.onion) και κόμβους “backconnect”.
Ο Zscaler εντόπισε επίσης και απαρίθμησε αρκετές διευθύνσεις κρυπτονομισμάτων που χρησιμοποιούν οι φορείς απειλών για να λάβουν κλεμμένα κεφάλαια, σε BTC, ETH, LTC και TRX.
Το DanaBot αποκαλύφθηκε για πρώτη φορά από τους ερευνητές της Proofpoint ως τραπεζικό trojan με βάση τους Δελφούς που παραδόθηκε μέσω email και κακόβουλης διαφήμισης.
Λειτουργούσε με το μοντέλο κακόβουλου λογισμικού ως υπηρεσία (MaaS), το οποίο ενοικιαζόταν σε εγκληματίες του κυβερνοχώρου έναντι συνδρομής.
Στα χρόνια που ακολούθησαν, το κακόβουλο λογισμικό εξελίχθηκε σε ένα αρθρωτό σύστημα κλοπής και φόρτωσης πληροφοριών, στοχεύοντας διαπιστευτήρια και δεδομένα πορτοφολιού κρυπτονομισμάτων που ήταν αποθηκευμένα σε προγράμματα περιήγησης ιστού.
Το κακόβουλο λογισμικό χρησιμοποιήθηκε σε πολυάριθμες καμπάνιες, μερικές από τις οποίες ήταν μεγάλης κλίμακας, και επανεμφανίστηκαν περιστασιακά από το 2021 και μετά, παραμένοντας μια σταθερή απειλή για τους χρήστες του Διαδικτύου.
Τον Μάιο του τρέχοντος έτους, μια διεθνής προσπάθεια επιβολής του νόμου με την κωδική ονομασία «Operation Endgame» διέκοψε την υποδομή της Danabot και ανακοίνωσε κατηγορίες και κατασχέσεις, οι οποίες υποβάθμισε σημαντικά τη λειτουργία της.
Ωστόσο, σύμφωνα με τον Zscalerη Danabot είναι και πάλι ενεργή, με ανακατασκευασμένη υποδομή. Ενώ η λειτουργία Danabot ήταν εκτός λειτουργίας, πολλοί μεσίτες αρχικής πρόσβασης (IAB) στράφηκαν σε άλλο κακόβουλο λογισμικό.
Η επανεμφάνιση του DanaBot δείχνει ότι οι εγκληματίες του κυβερνοχώρου είναι ανθεκτικοί στη δραστηριότητά τους εφόσον υπάρχει οικονομικό κίνητρο, παρά την πολύμηνη διακοπή, ειδικά όταν οι βασικοί χειριστές δεν συλλαμβάνονται.
Οι τυπικές μέθοδοι αρχικής πρόσβασης που παρατηρούνται σε μολύνσεις DanaBot περιλαμβάνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου (μέσω συνδέσμων ή συνημμένων), δηλητηρίαση SEO και εκστρατείες κακόβουλης διαφήμισης, ορισμένες από τις οποίες οδήγησαν σε ransomware.
Οι οργανισμοί μπορούν να αμυνθούν από επιθέσεις DanaBot προσθέτοντας στις λίστες αποκλεισμού τους νέους δείκτες συμβιβασμού (IoC) από το Zscaler και ενημερώνοντας τα εργαλεία ασφαλείας τους.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
