銀行木馬DanaBot將攻擊目標轉向歐洲並新增多項特性

下一個故事
銀行木馬DanaBot將攻擊目標轉向歐洲並新增多項特性
 
ESET研究人員發現,DanaBot近期動作頻頻,將多個歐洲國家列為攻擊目標,這是在今年年初發現的一款竊取銀行資料的隱藏木馬,最初是在針對澳大利亞的攻擊活動中被發現,後來又在波蘭境內活動,現已明顯擴大範圍,在義大利、德國和奧地利多次現身,截至2018年9月,又蔓延到烏克蘭。
 
何謂DanaBot?
 
DanaBot是一款模組化網銀木馬,被發現通過惡意電郵群發、感染澳大利亞用戶,而該木馬使用Delphi編寫而成,採用分級、多元件框架,多數功能都以外掛程式形式實現。據稱被發現當時,該惡意程式仍處於積極開發階段。
 
近期活動
 
澳大利亞境內的惡意活動被廣泛報導後僅僅兩周,就在針對波蘭發起的攻擊中,再次檢測到DanaBot的身影。ESET研究人員稱,針對波蘭的攻擊活動目前仍在持續,且是迄今為止規模最大、最為活躍的規模性攻擊。為誘使受害者上當,波蘭攻擊活動的幕後攻擊者使用了電子郵件方式進行傳播,謊稱是多家公司發來的電子發票,如圖1所示。攻擊活動綜合運用了PowerShell和VBS腳本,即廣為人知的Brushaloader。
 
 
圖1 – 2018年9月DanaBot針對波蘭的攻擊活動中所使用的垃圾郵件示意
 
9月初,ESET研究人員發現,義大利、德國和奧地利境內發生多起規模較小、針對銀行的攻擊活動,運用與波蘭攻擊活動相同的傳播方式。繼這一新趨勢顯露端倪之後,ESET又於2018年9月8日發現,DanaBot針對烏克蘭用戶發起的最新攻擊。最新攻擊活動中的目標軟體和網站,詳見本文末尾。
 
由ESET資料顯示,2018年8月初及9月份,DanaBot檢測率大幅飆升,如圖2所示。
 
 
圖2 – 過去兩個月期間,由ESET產品檢測到DanaBot次數一覽圖
 
改進外掛程式
 
由於其模組化特性,DanaBot透由外掛程式來實現自身的大多數特性。
 
2018年5月份的澳大利亞攻擊活動中,使用了以下外掛程式:
 
VNC外掛程式 – 建立受害者電腦連接,進行遠端控制
Sniffer外掛程式 – 通常在造訪銀行網站時,向受害者瀏覽器中注入惡意腳本
Stealer外掛程式 – 採集各類廣泛應用程式的密碼(瀏覽器、FTP用戶端、VPN用戶端、聊天和電郵程式、紙牌類程式等)
TOR外掛程式 – 安裝TOR代理伺服器,啟用onion造訪功能
 
根據ESET研究,自最初報導攻擊活動以來,攻擊者已針對DanaBot外掛程式做出了多次調整。
 
2018年8月,攻擊者開始使用TOR外掛程式,更新來自y7zmcwurl6nphcve.onion的命令與控制伺服器名單。雖然該外掛程式也可用於在攻擊者和受害者之間創建秘密通信通道,但截至目前,我們尚未掌握此類用途的證據。
 
除此以外,攻擊者已將竊密外掛程式範圍擴展至64位版本,日期為2018年8月25日,而這也進一步擴大了DanaBot潛在攻擊範圍內的目標軟體清單。
 
最後,2018年9月初,DanaBot添加了RDP(Remote Desktop Protocol,遠端桌面協議)外掛程式。該外掛程式基於開源項目RDPWrap,後者為通常不支援該協定的Windows設備,提供遠端桌面協定連接。
 
DanaBot開發者添加另一外掛程式,啟用VNC外掛程式以外的另一遠端存取途徑,可能存在多個原因:首先,RDP協議不易被防火牆所攔截;其次,RDPWrap允許多名使用者同時使用同一台設備,從而使攻擊者能夠在受害者毫無覺察、仍舊使用設備的同時,執行偵查活動。
 
結論
 
承上所述,ESET發現DanaBot仍在被積極開發和使用,最近正在開闢歐洲各國的新”狩獵範圍”。由近期活動中所添加的新功能所見,DanaBot的幕後攻擊者繼續利用該惡意程式的模組化架構,擴大滲透範圍並提高成功率。
 
ESET全系列產品皆能檢測和攔截DanaBot的全部元件和外掛程式,檢測名稱已在染毒特徵一節中列出。最新攻擊活動中所針對的目標軟體和功能變數名稱,詳見本文以下說明。
 
目標軟體
 
歐洲所有攻擊活動中針對的目標軟體:
*electrum*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*-qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*
 
烏克蘭攻擊活動中針對的目標軟體
2018年9月8日,DanaBot開始針對以下企業級網銀軟體和遠端存取工具,展開目標性攻擊:
*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe*
*upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*
inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*
 
目標功能變數名稱
 
注意配置中使用了萬用字元,因此該列表只包括能夠可靠認定的網站。
 
義大利目標功能變數名稱
    credem.it
    bancaeuro.it
    csebo.it
    inbank.it
    bancopostaimpresaonline.poste.it
    bancobpm.it
    bancopopolare.it
    ubibanca.com
    icbpi.it
    bnl.it
    banking4you.it
    bancagenerali.it
    ibbweb.tecmarket.it
    gruppocarige.it
    finecobank.com
    gruppocarige.it
    popso.it
    bpergroup.net
    credit-agricole.it
    cariparma.it
    chebanca.it
    creval.it
    bancaprossima.com
    intesasanpaoloprivatebanking.com
    intesasanpaolo.com
hellobank.it
 
德國目標功能變數名稱
    bv-活動banking.de
    commerzbank.de
    sparda.de
    comdirect.de
    deutsche-bank.de
    berliner-bank.de
    norisbank.de
targobank.de
 
奧地利目標功能變數名稱
    sparkasse.at
    raiffeisen*.at
bawagpsk.com
 
烏克蘭目標功能變數名稱
2018年9月24日添加的功能變數名稱:
    bank.eximb.com
    oschadbank.ua
client-bank.privatbank.ua
2018年9月17日添加的功能變數名稱:
    online.pumb.ua
creditdnepr.dp.ua
 
目標網頁郵箱
    mail.vianova.it
    mail.tecnocasa.it
    MDaemon Webmail
    email.it
    outlook.live.com
    mail.one.com
    tim.it
    mail.google
    tiscali.it
    roundcube
    horde
    webmail*.eu
webmail*.it
 
目標數位貨幣銀夾
*\wallet.dat*
*\default_wallet*
 
針對波蘭、義大利、德國和奧地利實施攻擊的配置示例
 
 
中毒特徵
 
DanaBot使用的伺服器
注意,“活動”一詞代表截至2018年9月20日仍在推送惡意內容。
伺服器狀態
45.77.51.69活動
45.77.54.180活動
45.77.231.138活動
45.77.96.198活動
178.209.51.227活動
37.235.53.232活動
149.154.157.220活動
95.179.151.252活動
95.216.148.25失聯
95.216.171.131失聯
159.69.113.47失聯
159.69.83.214失聯
159.69.115.225失聯
176.119.1.102失聯
176.119.1.103活動
176.119.1.104活動
176.119.1.109失聯
176.119.1.110活動
176.119.1.111活動
176.119.1.112活動
176.119.1.114失聯
176.119.1.116活動
176.119.1.117失聯
104.238.174.105活動
144.202.61.204活動
149.154.152.64活動
 
hash值
 
注意約每十五分鐘就會推出主要元件的新版本,因此表中的雜湊值可能不為最新版本。
 
組件SHA1檢測名稱
歐洲傳染媒介782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAEVBS/TrojanDownloader.Agent.PYC
烏克蘭傳染媒介79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8JS/TrojanDropper.Agent.NPQ
釋放工具70F9F030BA20E219CF0C92CAEC9CB56596F21D50Win32/TrojanDropper.Danabot.I
下載器AB0182423DB78212194EE773D812A5F8523D9FFDWin32/TrojanDownloader.Danabot.I
主模組(x86)EA3651668F5D14A2F5CECC0071CEB85AD775872CWin32/Spy.Danabot.F
主模組(x64)47DC9803B9F6D58CF06BDB49139C7CEE037655FEWin64/Spy.Danabot.C
 
外掛程式
 
RDP外掛程式C31B02882F5B8A9526496B06B66A5789EBD476BEWin32/Spy.Danabot.H
竊密外掛程式(x86)3F893854EC2907AA45A48FEDD32EE92671C80E8DWin32/Spy.Danabot.C
竊密外掛程式(x64)B93455B1D7A8C57F68A83F893A4B12796B1E636CWin64/Spy.Danabot.E
嗅探外掛程式DBFD8553C66275694FC4B32F9DF16ADEA74145E6Win32/Spy.Danabot.B
VNC外掛程式EBB1507138E28A451945CEE1D18AEDF96B5E1BB2Win32/Spy.Danabot.D
TOR外掛程式73A5B0BEE8C9FB4703A206608ED277A06AA1E384Win32/Spy.Danabot.G