• Inicio
  • Ayuda
  • TV
  • Buscar…

🐎 Troyano bancario DanaBot evoluciona con la nueva capacidad de enviar spam



diciembre 7, 2018

DanaBot parece haber superado la categoría de troyano bancario. De acuerdo a nuestra investigación, sus operadores han estado experimentando recientemente con funciones de recolección de direcciones de correo electrónico y de envío de spam, capaces de hacer un uso malintencionado de las cuentas de correo de las víctimas para la distribución de malware. Más allá de las nuevas funcionalidades, encontramos indicadores de que los operadores detrás de DanaBot han estado cooperando con los criminales que están detrás de GootKit (otro troyano avanzado), lo cual es un comportamiento atípico en los grupos independientes.

Imagen por wk1003mike vía Shutterstock

Enviando spam desde las cuentas de las víctimas

Algunas funcionalidades (que no habíamos reportado previamente) captaron nuestra atención cuando analizamos los webinjects utilizados para dirigirse a usuarios de distintos servicios de webmail italianos como parte de la campaña de expansión de DanaBot por Europa, en septiembre de 2018.

Según nuestra investigación, el JavaScript inyectado en las páginas de los servicios de webmail apuntados, tiene dos principales funciones:

DanaBot recopila direcciones de correo de cuentas de víctimas existentes. Esto lo logra inyectando un script malicioso en las páginas de los servicios de webmail apuntados, una vez que la víctima se registra, que procede a recopilar los correos de las víctimas y enviar todas las direcciones de correo que encuentra a un servidor C&C.

Si el servicio de webmail apuntado está basado en la suite Open-Xchange (como por ejemplo, el popular servicio de webmail italiano libero.it), DanaBot también inyecta un script que tiene la habilidad de utilizar la cuenta de la víctima para enviar spam de manera encubierta a las direcciones de correo recopiladas.

Los correos maliciosos son enviados como respuesta a correos que están en la bandeja de entrada de las cuentas comprometidas, haciendo parecer que los propietarios de la cuenta son quienes envían esa respuesta. Además, que los correos maliciosos enviados desde cuentas configuradas para enviar mensajes firmados tendrán firmas digitales válidas.

Parecería que los atacantes están especialmente interesados en direcciones de correo que utilicen el servicio de certificación PEC, el cual puede encontrarse en certificaciones para direcciones de correo italianas. Esto podría indicar que los autores de DanaBot están enfocados en apuntar a correos de organismos públicos y corporativas, ya que probablemente sean estos los que más utilizan este servicio de certificados.

Los correos incluyen adjuntos en format ZIP, previamente descargados del servidor del atacante, y contienen un archivo PDF como señuelo y un archivo VBS malicioso. Ejecutar el archivo VBS conduce a descargar más malware utilizando un comando de PowerShell.

Al momento de escribir este post, las funcionalidades maliciosas descritas anteriormente aún se limitan a dirigirse a Italia. Al final de este post presentamos una lista de los servicios apuntados.

Vínculos entre DanaBot y GootKit

Habiendo analizado los archivos VBS maliciosos en el servidor C&C de DanaBot, descubrimos que contiene un módulo downloader para GootKit, un avanzado y sigiloso troyano que primero fue utilizado en ataques de fraudes bancarios. El payload malicioso parece ser generado automáticamente, sirviendo a un archivo diferente en cada acceso.

Esta es la primera vez que vemos indicadores de DanaBot distribuyendo otro malware. Hasta ahora se creía que DanaBot operaba por un único grupo cerrado. El comportamiento también es nuevo para GootKit, que ha sido descrito como una herramienta que no se comercializa en foros clandestinos y que es operado por un grupo cerrado. Algo interesante es que recientemente también hemos visto otra instancia en la que GootKit está siendo distribuido por otro malware, como es el conocido troyano Emotet, cuya última campaña fue cerca del Black Friday y el Cyber Monday.

Aparte de la presencia de GootKit en servidores utilizados por DanaBot, hemos descubierto otros vínculos que sugieren una cooperación entre los operadores de DanaBot y GootKit.

Primero, la telemetría de ESET fue capaz de asociar la actividad de GootKit a un servidor C&C en una subred y un dominio de primer nivel (TLD, por sus siglas en inglés) que son utilizados también por DanaBot. DanaBot utiliza muchas direcciones IP (176.119.1.0/24) en la subred para C&C y redirecciona (Ver los Indicadores de Compromiso). Si bien los nombres de dominio de DanaBot cambian cada pocos días, .co es su dominio de primer nivel más común (por ejemplo egnacios[.]co, kimshome[.]co, etc.).

Las muestras GootKit descargadas por el payload malicioso en el C&C de DanaBot tenía funetax[.]co y reltinks[.]co como sus C&C. Durante un tiempo, ambos resolvían en 176.119.1.175.

Segundo, tanto los dominios de DanaBot como los de GootKit generalmente comparten el mismo registrador de dominios para sus dominios .co, que son Todaynic.com, Inc, y en su mayoría comparten el mismo servidor de nombres: dnspod.com.

Finalmente, en la semana del 29 de octubre de 2018, la telemetría de ESET mostró una significativa caída en la distribución de DanaBot en Polonia; y esa misma semana hubo un poco de actividad de GootKit en Polonia. Durante el pico, GootKit fue propagado utilizando el mismo método de distribución que DanaBot en su reciente campaña en Polonia.

Similitudes con otras familias de malware: Mientras analizábamos DanaBot, también notamos que parte de la configuración de DanaBot tiene una estructura que hemos visto previamente en otras familias de malware, como por ejemplo, en Tinba o Zeus. Esto permite a sus desarrolladores usar similares scripts webinjects o incluso reutilizar scripts de terceras partes.

Algunos scripts son prácticamente iguales a los scripts que hemos visto en uso por el troyano BackSwap, incluyendo la convención de nombres y la ubicación del script en el servidor.

Conclusión: La investigación muestra que DanaBot tiene un alcance mayor que el de un típico troyano bancario; con operadores que regularmente añaden nuevas funciones, prueban nuevos vectores de distribución, y posiblemente cooperan con otros grupos cibercriminales.

Origen: Troyano bancario DanaBot evoluciona con la nueva capacidad de enviar spam


[+] Videos de nuestro canal de YouTube
+, Alerta de seguridad, Ataque, Malware, Protección, Tecnología    ESET
← 😉 Filtran imágenes y características del Samsung Galaxy A8s
[ADX] Los mejores smartphones de 2018 con especificaciones y precios [Fotos+Video] →

No se han encontrado comentarios

¿Y tú qué opinas? Cancelar respuesta

Con el S21 Ultra puedes jugar algunos juegos fantásticos, incluso juegos en un bitcoin casino. Hemos probado el S21 Ultra con los juegos de un bitcoin casino y cargan sin ningún problema. Los juegos parecen ser casi reales con la nueva resolución del S21 Ultra. Un teléfono que debes adquirir.











[+] Popular

Amazon (182) android (81) Android 10 (146) apple (561) asus (76) CES (146) CES 2018 (60) coronavirus (114) criptomoneda (63) criptomonedas (82) digitel (70) Donald Trump (63) ESET (174) facebook (592) filtraciones (91) Filtración (151) gmail (73) google (655) google play (68) HP (70) Huawei (269) IA (125) Instagram (264) Intel (104) ipad (81) iphone (218) kaspersky (58) Kaspersky Lab (92) Lenovo (121) LG (151) Microsoft (462) Motorola (83) NASA (80) Netflix (62) nokia (127) ransomware (69) samsung (541) Samsung Galaxy (92) Skype (64) sony (166) twitter (330) WhatsApp (577) Windows 10 (181) Xiaomi (320) youtube (148)

[+] Para buscar

Síguenos

  • YouTube
  • Twitter
  • Facebook
  • Instagram
  • Feed RSS
  • Pinterest
  • LinkedIn
  • Correo electrónico





[+] Menú

  • Inicio
  • Apps
    • WhatsApp
    • Android
    • iOS
    • Windows
    • MacOS
  • Alerta
    • Seguridad
  • e-Boletín: GRATIS
  • Buscar…
  • Nuevo
    • Smartphone
    • PC
    • TV
  • Favoritos
  • Ayuda
    • Test de velocidad GRATIS
  • Juegos
    • Móvil
    • Xbox
    • PS
    • Nintendo
  • Me gusta
    • Autos
    • Cine
    • Música
    • Turismo
  • Video
    • AltaDensidad.TV
  • Audio
    • Podcast
    • iVoox
    • Apple Podcasts
    • Spotify
  • +Info
    • Horarios
    • Contacto
    • Prensa
    • Publicidad
    • Grupo WhatsApp
    • Youtube
    • Twitter
    • Instagram
    • Facebook
    • RSS
    • Política de privacidad

[+] Noticias Populares

  • Sony Xperia 1 III y Xperia 5 III: el sueño de fotógrafos y cinéfilos
  • Test rápido de COVID-19 con una foto del ojo usando una app móvil
  • Lenovo lanza teléfono inteligente gama alta con 18 GB de RAM para juegos
  • Cómo vigilar el Instagram de alguien sin contraseña
  • Descargar videos de YouTube fácil y gratis sin instalar ninguna aplicación
  • Vista satelital en vivo y gratis [actualizado+links]
  • Vista satelital de la Tierra en vivo y en alta definición [+Video]
  • Así puedes expandir la memoria interna de un móvil
  • BanescoMóvil y Banesco PagoMóvil se fusionan en una sola aplicación ¡Descárgala aquí!
  • Xiaomi Mi 11 Ultra: mira el descabellado video del unboxing bajo el agua

[+] Recientes

  • Xiaomi Mi 11 Ultra: mira el descabellado video del unboxing bajo el agua
  • Sony Xperia 10 III con 5G, compacto y resistente al agua
  • F1 integra 6 nuevas estadísticas de carrera en tiempo real impulsadas por Amazon
  • Empresa venezolana regenera plástico usado en un país con poca tradición de reciclaje
  • Nuevo TicWatch GTH parece un Apple Watch pero cuesta mucho menos
  • Filtran más funciones y ajustes de Android 12
  • Nuevo mouse inalámbrico Logitech con tecnología de voz integrada
  • Sony Xperia 1 III y Xperia 5 III: el sueño de fotógrafos y cinéfilos
  • NVIDIA anuncia su primer CPU para centro de datos basado en Arm
  • Luz trasera inteligente para bicicletas quiere ser un escudo de protección para el ciclista
Privacidad y cookies: este sitio utiliza cookies. Al continuar utilizando esta web, aceptas su uso.
Para obtener más información, incluido cómo controlar las cookies, consulta aquí: Política de cookies
Alta Densidad® y Disco Duro® son producciones de Carlos José Monzón ©1999-2021 | Contacto: info@altadensidad.com

EvoLve theme by Theme4Press  •  Powered by WordPress Alta Densidad
Tecnología inteligente @discoduro

Ir a la versión móvil