"Danabot Banking Malware" dirigido a bancos en los EE. UU.

malspam

Inicialmente el troyano bancario DanaBot realizaba campañas dirigidas a bancos en Australia y Europa, pero según resultados de una nueva investigación muestra una campaña dirigida a bancos en los Estados Unidos.

DanaBot es un troyano modular escrito en Delphi, el cual tiene como propósito fundamental robar credenciales de cuenta e información de sitios de banca en línea. Esto lo logra hacer a través de una variedad de métodos, como tomar capturas de pantalla de pantallas activas, robar datos de formularios o registrar las pulsaciones de teclado realizadas en el computador. La información robada es recopilada y es enviada de vuelta a un servidor central, o servidor de comando y control, donde los atacantes acceden a ella.

Cuando ProofPoint descubrió DanaBot por primera vez, solamente estaba siendo utilizado para dirigirse a bancos australianos. Más adelante y gracias a los resultados que obtuvieron, otros actores maliciosos comenzaron a utilizar el troyano bancario para dirigirse a otras regiones. ProofPoint intuye que DanaBot está siendo comercializado como parte de un sistema de afiliados, donde los actores maliciosos pueden compartir las ganancias o alquilar el malware al desarrollador.

Campaña en norteamerica de DanaBot

La campaña en norteamerica descubierta por ProofPoint se está difundiendo a través de malspam que pretenden ser faxes digitales de eFax. Estos correos electrónicos indican que el destinatario recibió un fax y luego solicita al usuario que los descargue.

Una vez el destinatario haga clic en el botón de descarga, obtendrá un documento de Word malicioso que pretende ser el eFax. Cuando se abra, el documento indicará a los usuarios que hagan clic en el botón "Habilitar contenido" para verlo correctamente.

maldoc

Cuando el usuario hace clic en el botón Habilitar contenido, las macros de Word se activarán y descargarán e instalarán Hancitor en la máquina de la víctima. Hancitor luego descargará DanaBot y otros programas maliciosos, como Pony.

Sistema de afiliados y enlaces a CryptXXX.

ProofPoint ha estado realizando seguimiento a diversas campañas que utilizan DanaBot y han logrado identificar a 9 actores diferentes que distribuyen el troyano. Estos actores están siendo identificados por un "id de afiliado" que forma parte del encabezado de comunicación C2.

En su mayoría, cada actor distribuye DanaBot a una región específica, y solo Australia es el objetivo de dos ID de afiliados diferentes. Además, cada ID de afiliado está utilizando diferentes métodos de distribución, como las inyecciones web, el kit de explotación de Fallout, varias campañas malspam y, como en la campaña actual, las instalaciones a través del malware Hancitor.

Además de utilizar un sistema afiliado, ProofPoint ha encontrado similitudes entre cómo DanaBot y CryptXXX Ransomware se comunican con sus respectivos servidores de comando y control. Esto lleva a los investigadores a creer que los desarrolladores crearon DanaBot como parte de una evolución de CryptXXX.

"Por lo tanto, parece que Danabot sigue en una larga línea de malware de un grupo en particular", declaró el informe ProofPoint. "Esta familia comenzó con ransomware, a la que se agregó la funcionalidad de ladrón en Reveton. La evolución continuó con el software de criptografía XXXX y ahora con un troyano bancario con Stealer y la funcionalidad de acceso remoto se agregó en Danabot".

Síguenos en FacebookTwitterunete a nuestro chat en Matrix y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila