DanaBot恶意软件死灰复燃
|
“从2020年10月下旬开始,我们观察到VirusTotal中出现的DanaBot样本有了重大更新,” Dennis Schwarz,Axel F.和Brandon Murphy在星期二发布的合作报告中写道。“虽然DanaBot尚未恢复到以前的规模,但它却是防御者应重新关注的恶意软件。” 破坏者DanaBot DanaBot是一种银行木马,它首先通过包含恶意URL的电子邮件将澳大利亚的用户作为目标。然后,罪犯分子开发了第二种变体并瞄准了美国公司,这是一系列大规模运动的一部分。据发现它的ESET研究人员称,第三种变体于2019年2月浮出水面,并且其远程命令和控制功能得到了显着增强。 Proofpoint最近发现的第四版非常特殊,因此研究人员的报告仍不清楚该恶意软件具有哪些特定的新功能。Proofpoint也没有回复媒体的讯问。 与以前的活动相比,星期二的报告表明,这种最新的变体大多带有与以前相同的致命工具库,主要功能包括ToR组件,用于匿名破坏者和受感染硬件之间的通信。 “正如DanaBot控制面板中先前报道的那样,我们认为DanaBot被设置为一种 ‘malware as a service(MaaS)’,其中一个威胁行为者控制着一个全球指挥与控制(C&C)面板和基础架构,然后将访问权限出售给其他被称为分支机构的威胁参与者。”研究人员写道。 DanaBot的核心 一般来说,DanaBot的多阶段感染链始于一个dropper,该dropper会触发黑客的级联进化,这些措施包括窃取网络请求、窃取应用程序和服务凭据、敏感信息的数据泄露、间谍软件的桌面截图以及投放cryptominer将目标PC变成加密货币工蜂。 通过当前的分析,Proofpoint侧重于恶意软件“主要组件”内的具体技术变化,该恶意软件在这方面包括反分析功能,以及: 某些Windows API函数在运行时解析。 当一个与恶意软件相关的文件被读取或写入文件系统时,它是在良性诱饵文件读取或写入过程中完成的。 通过创建一个LNK文件来维护持久性,该文件将执行用户的Startup目录中的主要组件。 LNK文件(或Windows快捷方式文件)是每当用户打开文件时Windows自动创建的文件。Windows使用这些文件将文件类型连接到用于查看或编辑数字内容的特定应用程序。
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
