बैंकिंग ट्रोजन DanaBot यूरोप में उपयोगकर्ताओं पर हमला करता है

हाल ही में, हमने इस वर्ष की शुरुआत में खोजे गए DanaBot बैंकिंग ट्रोजन की गतिविधि में वृद्धि दर्ज की। दुर्भावनापूर्ण सॉफ़्टवेयर का उपयोग शुरू में ऑस्ट्रेलिया के उद्देश्य से किए गए हमलों में किया गया था, तब ऑपरेटरों ने पोलैंड का रुख किया और अपने भूगोल का विस्तार किया - अब हम इटली, जर्मनी, ऑस्ट्रिया और सितंबर 2018 में यूक्रेन में अभियान देख रहे हैं।

DanaBot एक मॉड्यूलर आर्किटेक्चर के साथ एक बैंकिंग ट्रोजन है, जिसे पहली बार मई 2018 में प्रूफ़ पॉइंट द्वारा ऑस्ट्रेलिया में स्पैम अभियानों में पता चलने के बाद वर्णित किया गया था। ट्रोजन डेल्फी में लिखा गया है, इसमें एक बहु-घटक और बहु-मंच वास्तुकला है, अधिकांश फ़ंक्शन प्लगइन्स के रूप में कार्यान्वित किए जाते हैं। पहले पता लगाने के समय, दुर्भावनापूर्ण कार्यक्रम सक्रिय विकास के चरण में था।

नए हमले

ऑस्ट्रेलिया में पहले अभियानों के दो सप्ताह बाद, पोलिश उपयोगकर्ताओं को लक्षित करने वाले एक हमले में DanaBot की खोज की गई थी। हमारे शोध के अनुसार, यह हमला आज भी जारी है और इस समय सबसे बड़ा और सबसे सक्रिय है। पीड़ितों को बदनाम करने के लिए, ऑपरेटर विभिन्न कंपनियों के खातों की नकल करते हैं (नीचे दिए गए आंकड़े देखें)। यह पावरशेल और वीबीएस स्क्रिप्ट के संयोजन का उपयोग करता है, जिसे ब्रुशलोडर के रूप में जाना जाता है।


चित्रा 1. सितंबर 2018 में पोलैंड में DanaBot अभियान से नमूना स्पैम ईमेल

सितंबर की शुरुआत में, ESET विशेषज्ञों ने इटली, जर्मनी और ऑस्ट्रिया में बैंकों के उद्देश्य से कई छोटे अभियान शुरू किए। उसी ट्रोजन वितरण योजना का उपयोग पोलिश अभियान में किया गया था। इस विकास के अलावा, 8 सितंबर 2018 को, ESET ने यूक्रेनी उपयोगकर्ताओं पर लक्षित एक नया DanaBot हमला किया। इन हमलों में उपयोग किए गए सॉफ़्टवेयर और साइटें पोस्ट के अंत में सूचीबद्ध हैं।

नीचे दिए गए आंकड़े ईएसईटी टेलीमेट्री के अनुसार, अगस्त और सितंबर 2018 के अंत में डैनबोट बंदियों की संख्या में तेज वृद्धि दिखाते हैं।


चित्रा 2. पिछले दो महीनों में ESET उत्पादों द्वारा DanaBot का पता लगाना

प्लगइन सुधार

डैनबोट में एक मॉड्यूलर वास्तुकला है। इसके अधिकांश कार्य प्लगइन्स पर आधारित हैं।
मई 2018 में ऑस्ट्रेलियाई उपयोगकर्ताओं को लक्षित करने वाले अभियान के भाग के रूप में निम्नलिखित प्लगइन्स का उल्लेख किया गया था:

- वीएनसी - पीड़ित के कंप्यूटर के साथ संबंध स्थापित करता है और दूरस्थ रूप से इसे नियंत्रित करता है;
- स्निफर - बैंकिंग साइटों पर जाने पर, एक नियम के रूप में, पीड़ित के ब्राउज़र में एक दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करता है;
- स्टेलर - अनुप्रयोगों (ब्राउज़र, एफ़टीपी क्लाइंट, वीपीएन क्लाइंट, चैट और ईमेल क्लाइंट, ऑनलाइन पोकर, आदि) की एक विस्तृत श्रृंखला से पासवर्ड एकत्र करता है;
- टीओआर - टीओआर प्रॉक्सी स्थापित करता है और .onion साइटों तक पहुंच प्रदान करता है।

हमारे शोध के अनुसार, हमलावरों ने पहले वर्णित अभियानों के बाद DanaBot प्लगइन्स में बदलाव किए।

अगस्त 2018 में, हमलावरों ने Y7zmcwurl6nphcve.onion से C & C सर्वर की सूची को अपडेट करने के लिए TOR प्लगइन का उपयोग करना शुरू किया। यह प्लगइन संभावित रूप से हमलावर और पीड़ित के बीच संचार के एक छिपे हुए चैनल को बनाने के लिए इस्तेमाल किया जा सकता है, हालांकि अभी तक हमारे पास इस तरह के उपयोग का कोई सबूत नहीं है।

इसके अलावा, हमलावरों ने 25 अगस्त, 2018 को संकलित 64-बिट संस्करण के साथ स्टीलर प्लगइन्स की सूची में जोड़ा, सॉफ्टवेयर की सूची का विस्तार करते हुए कि डैनबोट हमला संभावित रूप से लक्षित कर सकता है।

अंत में, सितंबर 2018 की शुरुआत में, एक आरडीपी प्लगइन जोड़ा गया था। यह ओपन सोर्स RDPWrap प्रोजेक्ट पर आधारित है, जो विंडोज मशीनों पर रिमोट डेस्कटॉप कनेक्टिविटी प्रदान करता है जो आमतौर पर इसका समर्थन नहीं करते हैं।

कई कारण हैं कि DanaBot डेवलपर्स ने VNC के अलावा एक और रिमोट एक्सेस प्लगइन क्यों जोड़ा। सबसे पहले, आरडीपी को फायरवॉल द्वारा अवरुद्ध किए जाने की संभावना कम है। दूसरे, RDPWrap कई उपयोगकर्ताओं को एक ही समय में एक ही कंप्यूटर का उपयोग करने की अनुमति देता है, जो हमलावरों को फिर से मिलाने की अनुमति देता है जबकि पीड़ित मशीन का उपयोग कर रहा है।

निष्कर्ष

हमें पता चला कि डैनबोट अभी भी सक्रिय रूप से उपयोग और विकसित है, और हाल ही में, यूरोप में इसका परीक्षण किया गया है। हाल के अभियानों में नई सुविधाओं से संकेत मिलता है कि DanaBot ऑपरेटरों पहुंच और प्रदर्शन को बढ़ाने के लिए एक मॉड्यूलर वास्तुकला का उपयोग करना जारी रखता है।

ESET उत्पाद सभी DanaBot घटकों और प्लगइन्स का पता लगाते हैं और ब्लॉक करते हैं।

मुलायम

यूरोपीय अभियानों में लक्षित सॉफ्टवेयर
*electrum*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*-qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*

यूक्रेनी अभियान में लक्षित सॉफ्टवेयर

8 सितंबर 2018 से, DanaBot अभियान निम्नलिखित कॉर्पोरेट बैंकिंग सॉफ्टवेयर और रिमोट एक्सेस टूल के उद्देश्य से है:
*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe*
*upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*
inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*

डोमेन को लक्षित करें

ध्यान दें कि वाइल्डकार्ड वर्ण कॉन्फ़िगरेशन में उपयोग किए जाते हैं, इसलिए सूची में केवल पोर्टल्स होते हैं जिन्हें पहचाना जा सकता है।

इटली
- credem.it
- bancaeuro.it
- csebo.it
- inbank.it
- bancopostaimpresaonline.poste.it
- bancobpm.it
- bancopopolare.it
- ubibanca.com
- icbpi.it
- bnl.it
- banking4you.it
- bancagenerali.it
- ibbweb.tecmarket.it
- gruppocarige.it
- finecobank.com
- gruppocarige.it
- popso.it
- bpergroup.net
- credit-agricole.it
- cariparma.it
- chebanca.it
- creval.it
- bancaprossima.com
- intesasanpaoloprivatebanking.com
- intesasanpaolo.com
- hellobank.it

जर्मनी
- bv-activebanking.de
- commerzbank.de
- sparda.de
- comdirect.de
- deutsche-bank.de
- berliner-bank.de
- norisbank.de
- targobank.de

ऑस्ट्रिया
- sparkasse.at
- raiffeisen*.at
- bawagpsk.com

यूक्रेन

14 सितंबर, 2018 को जोड़े गए डोमेन:
- bank.eximb.com
- oschadbank.ua
- client-bank.privatbank.ua

डोमेन 17 सितंबर, 2018 को जोड़ा गया:
- online.pumb.ua
- creditdnepr.dp.ua

वेब मेल
- mail.vianova.it
- mail.tecnocasa.it
- MDaemon Webmail
- email.it
- outlook.live.com
- mail.one.com
- tim.it
- mail.google
- tiscali.it
- roundcube
- horde
- webmail*.eu
- webmail*.it

क्रिप्टोक्यूरेंसी वॉलेट
*\wallet.dat*
*\default_wallet*

पोलैंड, इटली, जर्मनी और ऑस्ट्रिया में अभियान विन्यास उदाहरण हैं

संक्रमण संकेतक

DanaBot द्वारा प्रयुक्त सर्वर

कृपया ध्यान दें कि सक्रिय का मतलब 20 सितंबर, 2018 तक दुर्भावनापूर्ण सामग्री की उपस्थिति है।

45.77.51.69 (Active)
45.77.54.180 (Active)
45.77.231.138 (Active)
45.77.96.198 (Active)
178.209.51.227 (Active)
37.235.53.232 (Active)
149.154.157.220 (Active)
95.179.151.252 (Active)
95.216.148.25 (Inactive)
95.216.171.131 (Inactive)
159.69.113.47 (Inactive)
159.69.83.214 (Inactive)
159.69.115.225 (Inactive)
176.119.1.102 (Inactive)
176.119.1.103 (Active)
176.119.1.104 (Active)
176.119.1.109 (Inactive)
176.119.1.110 (Active)
176.119.1.111 (Active)
176.119.1.112 (Active)
176.119.1.114 (Inactive)
176.119.1.116 (Active)
176.119.1.117 (Inactive)
104.238.174.105 (Active)
144.202.61.204 (Active)
149.154.152.64 (Active)

हैश उदाहरण
कृपया ध्यान दें कि मुख्य घटकों के नए संयोजन लगभग हर 15 मिनट में जारी किए जाते हैं - अर्थात्, अंतिम उपलब्ध हैश को यहां सूचीबद्ध नहीं किया जा सकता है।

यूरोप में संक्रमण का वेक्टर: 782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAE (VBS / TrojanDownloader.Agent.PYC)
यूक्रेन में संक्रमण के वेक्टर: 79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8 (JS / TrojanDropper.Agent.NPQ)
ड्रॉपर: 70F9F030BA20E219CF0C92CAEC9CB56596F21D50 (Win32 / TrojanDropper.Danabot.I)
डाउनलोडर: AB0182423DB78212194EE773D812A5F8523D9FFD (Win32 / TrojanDownloader.Danabot.I)
मुख्य मॉड्यूल (x86): EA3651668F5D14A2F5CECC0071CEB85AD775872C (Win32 / Spy.Danabot.F)
मुख्य मॉड्यूल (x64): 47DC9803B9F6D58CF06BDB49139C7CEE037655FE (Win64 / Spy.Danabot.C)

प्लग-इन

RDP: C31B02882F5B8A9526496B06B66A5789EBD476BE (Win32 / Spy.Danabot.H)
Stealer (x86): 3F893854EC2907AA45A48FEDD32EE92671C80E8D (Win32 / Spy.Danabot.C)
Stealer (x64): B93455B1D7A8C57F68A83F893A4B12796B1E636C (Win64 / Spy.Danabot.E)
स्निफर: DBFD8553C66275694FC4B32F9DF16ADEA74145E6 (Win32 / Spy.Danabot.B)
VNC: EBB1507138E28A451945CEE1D18AEDF96B5E1BB2 (Win32 / Spy.Danabot.D)
TOR: 73A5B0BEE8C9FB4703A206608ED277A06AA1E384 (Win32 / Spy.Danabot.G)