Investigadores de ESET descubrieron que DanaBot superó su categoría de troyano bancario, sumando nuevas funciones para distribuir malware, como la recolección de direcciones de correo electrónico y envío de spam. Además, los atacantes detrás de DanaBot ahora están cooperando con los cibercriminales que operan el troyano avanzado GootKit.
De acuerdo al análisis de ESET, DanaBot recopila direcciones de correo de cuentas de las víctimas, inyectando un script malicioso en las páginas de servicios de webmail. Luego, envía todas las direcciones de correo a un servidor Command and Control (C&C).
Si el servicio de webmail está basado en la suite Open-Xchange (Ej. el servicio italiano libero.it), DanaBot también puede inyectar un script que tiene la capacidad de utilizar la cuenta de la víctima para enviar spam, como respuesta a correos que están en la bandeja de entrada de las víctimas. Los receptores del spam creen que están recibiendo una respuesta verdadera, que contiene incluso, firmas digitales válidas.
Los correos tienen adjuntos archivos en formato ZIP, que contienen un PDF con un VBS malicioso oculto, que al abrirlo, ejecuta el malware, utilizando un comando PowerShell. Hasta el momento sólo hay afectados en Italia y se cree que DanaBot apunta principalmente a organismos públicos y corporativos del país.
De acuerdo a los investigadores, el malware tiene un alcance mayor que el de un típico troyano bancario, al añadir permanentemente nuevas funcionalidades, probar nuevos vectores de distribución y posiblemente, cooperar con otros grupos de cibercriminales.
- Antes de abrir un archivo ZIP, aunque provenga de un correo electrónico conocido, se recomienda comprobar que sea de confianza.
- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
- Configurar de manera más estricta el anti spam sin no antes primero evaluar porcentajes de falsos positivos.
- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 y 10. |
| Tipo | Indicador |
|---|---|
| url | job.hitjob.it |
| url | vps.hitjob.it |
| url | pph.picchio-intl.com |
| url | dcc.fllimorettinilegnaegiar... |
| url | icon.fllimorettinilegnaegia... |
| url | team.hitweb.it |
| url | latest.hitweb.it |
| url | amd.cibariefoodconsulting.it |
| url | vps.cibariefoodconsulting.it |
| url | ricci.bikescout24.fr |
| url | drk.fm604.com |
| url | gtdspr.space |
| url | it.sunballast.de |
| ip | 5.8.55.205 |
| ip | 31.214.157.12 |
| ip | 47.74.130.165 |
| ip | 149.154.157.106 |
| ip | 176.119.1.99 |
| ip | 176.119.1.100 |
| ip | 176.119.1.120 |
| ip | 176.119.1.176 |
| ip | 176.223.133.15 |
| ip | 185.254.121.44 |
| ip | 188.68.208.77 |
| ip | 192.71.249.50 |
| hash | A05A71F11D84B75E8D33B06E9E1... |
| hash | 0C2389B3E0A489C8E101FFD0E3E... |