恶意软件卷土重来

xel F.和Brandon Murphy在星期二发布的合作报告中写道。“虽然DanaBot尚未恢复到以前的规模，但它却是防御者应重新关注的恶意软件。”

破坏者DanaBot

DanaBot是一种银行木马，它首先通过包含恶意URL的电子邮件将澳大利亚的用户作为目标。然后，罪犯分子开发了第二种变体并瞄准了美国公司，这是一系列大规模运动的一部分。据发现它的ESET研究人员称，第三种变体于2019年2月浮出水面，并且其远程命令和控制功能得到了显着增强。

Proofpoint最近发现的第四版非常特殊，因此研究人员的报告仍不清楚该恶意软件具有哪些特定的新功能。Proofpoint也没有回复媒体的讯问。

与以前的活动相比，星期二的报告表明，这种最新的变体大多带有与以前相同的致命工具库，主要功能包括ToR组件，用于匿名破坏者和受感染硬件之间的通信。

“正如DanaBot控制面板中先前报道的那样，我们认为DanaBot被设置为一种 ‘malware as a service(MaaS)’，其中一个威胁行为者控制着一个全球指挥与控制(C&C)面板和基础架构，然后将访问权限出售给其他被称为分支机构的威胁参与者。”研究人员写道。

DanaBot的核心

一般来说，DanaBot的多阶段感染链始于一个dropper，该dropper会触发黑客的级联进化，这些措施包括窃取网络请求、窃取应用程序和服务凭据、敏感信息的数据泄露、间谍软件的桌面截图以及投放cryptominer将目标PC变成加密货币工蜂。

通过当前的分析，Proofpoint侧重于恶意软件“主要组件”内的具体技术变化，该恶意软件在这方面包括反分析功能，以及：

• 某些Windows API函数在运行时解析。
• 当一个与恶意软件相关的文件被读取或写入文件系统时，它是在良性诱饵文件读取或写入过程中完成的。
• 通过创建一个LNK文件来维护持久性，该文件将执行用户的Startup目录中的主要组件。

LNK文件(或Windows快捷方式文件)是每当用户打开文件时Windows自动创建的文件。Windows使用这些文件将文件类型连接到用于查看或编辑数字内容的特定应用程序。

确定的增量更新

利用此新变体，研究人员确定了几个新的分支ID，这表明DanaBot的malware-as-a-service组件非常活跃并且在不断增长。此外，还发现了应对感染的新策略和新技术。

“Proofpoint研究人员能够将至少一种DanaBot传播方法缩小到各种软件警告和破解网站，这些网站据称可以免费下载软件密钥和破解方法，包括防病毒程序、虚拟专用网、图形编辑器、文档编辑器和游戏”，研究人员写道。

从这些站点下载的非法内容或warez工具被标记为该最新第四种变体的初始感染点。这个推广软件密钥生成器的网站，诱使用户以为他们正在下载程序破解，但实际上warez文件“包含多个'README'文件和一个受密码保护的档案，其中包含恶意软件捆绑包的初始放置程序，‘setup_x86_x64_install.exe,'，” Proofpoint写道。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!