Троян DANABOT отримав здирницькі модулі.

19:39
Троян DANABOT отримав здирницькі модулі.

Троян, що швидко розвивається, DanaBot отримав додаткову функціональність. У чергову версію шкідника в одній з європейських кампаній входить модуль-вимагач NonRansomware. На початку травня ІБ-дослідники зафіксували перші випадки застосування цього модуля.

    NonRansomware кодує всі файли на локальних дисках, крім тих, які розташовані в директорії Windows.

HowToBackFiles.txt Примечание выкупа не вымогателей

Кожен об'єкт шифрується в окремому потоці за допомогою алгоритму AES128. Після цього файли отримують розширення .non, а в кожну папку поміщається документ HowToBackFiles.txt, де знаходиться інструкція викупу даних.
    Також шкідник завантажує в папку% TEMP% виконуваний файл b.bat і запускає його. Скрипт відповідає за:
  • Відключення Захисника Windows, програм моніторингу на кшталт TeamViewer і Veeam і сплячого режиму.
  • Показ прихованих файлів.
  • Видалення логів, очищення кошика і файлу pagefile.sys.
  • Видалення тіньових копій файлів.
  • Обхід політики PowerShell.
  • Заборона на відновлення логічних дисків C, D, E, F і H.
  Експерти з CheckPoint вивчили модуль NonRansomware і написали інструмент для відновлення зашифрованих їм даних. Як з'ясувалося, зловмисники фактично скопіювали код з відкритої бібліотеки DelphiEncryptionCompendium (DEC). Більш того, в вихідному коді виявився докладний опис процесу шифрування і інформація про те, що потрібно для відновлення файлів, а саме — випадкове число, яке шкідник зберігає прямо в цих файлах, і пароль, на основі якого генерується ідентифікатор жертви. Останній є строковим поданням серійного номера системного диска, і його нескладно підібрати брутфорсом, знаючи id, який вказаний в записці про викуп.
      Таким чином, єдине, що потрібно для відновлення зашифрованих файлів, — це викликати готову функцію DecodeFile з підібраним паролем.
      DanaBot — це модульний троян, написаний на Delphi. Вперше його виявили в Австралії в травні 2018 року. За півроку життя шкідник поширився на Польщу, Італію, Німеччину, Австрію і Україну. Європейські шкідливі кампанії показали, що троян швидко розширює свої можливості за допомогою нових полігонів та надається в користування за моделлю «шкідливе ПЗ як послуга» (malware-as-a-service, MaaS).
     З вересня 2018 року DanaBot почав використовуватися для масованих атак на американські банки, такі як Bank of America, TD Bank, Royal Bank і JP Morgan Chase. Зловмисники розповсюджували троян під виглядом повідомлень від сервісу eFax з посиланням на завантаження документа, що містить шкідливий код.
     Наступний важливий етап еволюції DanaBot стався в кінці січня 2019 року, коли автори шкідника вдосконалили обмін даними з керуючим сервером. Зокрема, вони допрацювали його архітектуру і впровадили багатоетапне шифрування даних, що ускладнило його виявлення антивірусними системами.
Ось деякі з сьогоднішніх можливостей DanaBot:
  • Крадіжка облікових даних з браузера.
  • Збір облікових даних кріптокошельков.
  • Запуск проксі-сервера на зараженій машині.
  • Створення скріншотів і запис відео.
  • Запит оновлень з C & C сервера і віддалене виконання команд.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.