新型銀行木馬DanaBot 偽造釣魚郵件進行傳播
責編:gltian |2018-07-20 13:41:05寫在前面的話
這些電子郵件據稱是澳大利亞跨國公司MYOB的發票,該公司為中小企業提供稅務,會計和其他商業服務軟件。但實際上,這些信件包含一個下載DanaBot銀行木馬的dropper文件,該木馬下載竊取私密和敏感信息,并將機器系統信息和桌面的屏幕截圖發送到命令和控制服務器。
“網絡犯罪分子正在瞄準澳大利亞公司的受害者,并通過復雜的多階段,多組件和銀行特洛伊木馬(如DanaBot)來竊取他們的私人和敏感信息,”Trustwave研究人員周五在一篇關于該活動的帖子中表示。“在此次活動中,攻擊者以偽造的MYOB發票消息的形式發送有針對性的網絡釣魚電子郵件,發票鏈接指向托管DanaBot惡意軟件的受感染FTP服務器。”
根據Trustwave研究人員Fahim Abbasi和Diana Lopera稱,針對MYOB的澳大利亞客戶發現了一系列網絡釣魚電子郵件詐騙案。網絡釣魚電子郵件使用標準的類似MYOB的html發票模板來說服用戶他們是真實的; 告訴客戶發票已到期并通過電子郵件底部的按鈕要求他們“View Invoice”。
Trustwave的威脅情報經理SpiderLabs的Karl Sigler告訴Threatpost,犯罪分子可能購買或者可能產生了他們自己的MYOB客戶名單。“鑒于人們公開分享了多少信息,特別是在社交網絡上,這些名單并不難獲得,”他說。Trustwave沒有任何關于該活動特定目標受害者數量的信息。
有趣的是,電子郵件不是使用更常見的HTTP應用程序層協議進行鏈接,而是利用指向受損FTP服務器的文件傳輸協議(FTP)(主要使用澳大利亞域)。
研究人員表示,“點擊這個'View Invoice(查看發票)'按鈕,我們認為這個zip文件是從澳大利亞公司的受損FTP服務器中下下來的。FTP憑證是在' View Invoice '按鈕中嵌入的FTP鏈接中提供的。”
Sigler告訴《威脅郵報》,使用FTP是一種“奇怪的選擇”,而不是研究人員通常會看到的。“看起來犯罪分子可能會破壞一家澳大利亞公司的FTP服務器并使用它來傳播惡意軟件,”他說。“這可能僅僅是為了方便而使用當時可用的東西。”
從FTP服務器下載.Zip存檔。包含在.Zip存檔中的是一個JavaScript下載器,在執行時會下載DanaBot木馬。
DanaBot,一種新型銀行特洛伊木馬
DanaBot是5月份發現的一種銀行木馬,它通過含有惡意url的電子郵件攻擊澳大利亞的用戶。這個木馬最初是由證據研究人員發現的,到目前為止,它已經成為2018年最大的網絡犯罪事件之一。
“DanaBot是最新的一個惡意軟件的例子,它關注的是持久性和竊取有用的信息,這些信息后來可以被轉化成金錢,而不是要求受害者立即索取贖金,”研究人員在關于這個木馬的時候說。“DanaBot的模塊化特性使它能夠下載額外的組件,增加了這個銀行家的靈活性和健壯的竊取和遠程監控能力。”
在最近的這次活動中,DanaBot惡意軟件首先將一個下行加載程序文件放入磁盤并執行它。然后下載一個主DLL(一個動態鏈接庫,它包含代碼和數據,可以同時被多個程序使用)。
下載后,DanaBot主DLL隨后下載并解密包含各種模塊和配置文件的加密文件。DLL模塊包括VNC,竊取者,嗅探器和TOR:“從加密文件中提取的DLL的文件名揭示了攻擊者的真實意圖,”研究人員說。“從本質上講,這些DLL使攻擊者能夠通過VNC創建和控制遠程主機,竊取私人和敏感信息,并通過Tor使用隱蔽通道。”
同時,五個配置文件(PInject,BitKey,BitVideo,BitFilesX和Zfilter)將使用自己的功能進行設置。“這些文件被惡意軟件用作對受害者機器上尋找內容的參考,”Sigler告訴《威脅郵報》。
其中包括PInject,其中包含目標為澳大利亞銀行的Web注入配置文件。BitKey和BitVideo是另外兩個配置文件,包含機器人將監控的加密貨幣進程列表。BitFilesX包含機器人將監視的加密貨幣文件列表。最后,Zfilter會搜索惡意軟件應監控網絡嗅探的進程。
研究人員還指出,DanaBot惡意軟件似乎托管在已經配置了“round robin DNS”的域上,該域使用多個IP來輪換流量并將其指向攻擊者控制的基礎架構。
研究人員警告說:“支持惡意軟件的基礎設施設計得很靈活,而惡意軟件設計得模塊化,功能分散在多個加密的組件上。”