Hat hónappal az Operation Endgame nemzetközi rendőrségi akciója után, amely jelentősen meggyengítette a DanaBot működését, a veszélyes banki trójai újra felbukkant. A Zscaler ThreatLabz kutatói szerint a DanaBot legújabb, 669-es verziója már egy továbbfejlesztett, Tor (.onion) alapú parancs- és vezérlő (C2) infrastruktúrát használ, valamint “backconnect” csomópontokat alkalmaz a kommunikációhoz.
A DanaBot története és működése
A DanaBot malware-t először a Proofpoint kutatói fedezték fel, mint egy Delphi nyelven írt banki trójait, amelyet elsősorban e-mailes fertőzések és rosszindulatú reklámkampányok (malvertising) terjesztettek. A kártevő kezdetben malware-as-a-service (MaaS) modellben működött, vagyis bűnözők bérelhették előfizetéses díj ellenében.
Az évek során a DanaBot jelentős fejlődésen ment keresztül: moduláris információlopóvá és betöltővé alakult át, amely elsősorban web böngészőkben tárolt hitelesítő adatokat és kriptovaluta tárca-információkat célozza meg. Ezáltal nemcsak banki adatokat lopott, hanem kriptovalutákhoz is hozzáférést szerzett.
A DanaBot új változatának jellemzői
- Új C2 infrastruktúra: A 669-es verzió Tor hálózaton keresztül kommunikál, ami megnehezíti a hatóságok számára a nyomkövetést és az infrastruktúra lebontását.
- Backconnect csomópontok: Ezek segítségével a támadók elrejtik valódi szervereik helyét és tovább növelik az anonimitást.
- Kriptovaluta lopás: A Zscaler több olyan kriptovaluta címet is azonosított (BTC, ETH, LTC, TRX), amelyeken keresztül a támadók fogadják az ellopott pénzeszközöket.
A korábbi rendőrségi akciók hatása és a jelenlegi helyzet
2023 májusában egy nemzetközi együttműködés keretében végrehajtott „Operation Endgame” jelentős csapást mért a DanaBot infrastruktúrájára: letartóztatások történtek, valamint számos szervert lefoglaltak. Ez az akció ideiglenesen visszaszorította a kártevő terjedését.
Azonban a Zscaler kutatói szerint a DanaBot most újra aktív, teljesen újjáépített infrastruktúrával. Ez jól mutatja, hogy a kiberbűnözők kitartóak és rugalmasak maradnak, amíg anyagi haszon reményében folytathatják tevékenységüket – különösen akkor, ha a fő operátorokat nem sikerül elfogni.
A fertőzés tipikus módjai
A DanaBot fertőzések általában az alábbi kezdeti behatolási módszerekkel indulnak:
- Kártékony e-mailek: Rosszindulatú linkek vagy csatolmányok útján terjednek.
- SEO mérgezés: Keresőoptimalizálási technikákkal manipulált weboldalak révén fertőzik meg az áldozatokat.
- Malvertising kampányok: Online hirdetésekbe ágyazott rosszindulatú kódok segítségével jutnak be a rendszerekbe.
Ezek közül néhány esetben további káros szoftverek, például zsarolóvírusok is települhetnek a fertőzés során.
Megelőzés és védekezés a DanaBot ellen
Szervezetek számára kulcsfontosságú, hogy naprakészen tartsák biztonsági rendszereiket és blokkolják az ismert fenyegetéseket. Ehhez ajánlott beépíteniuk a Zscaler által közzétett új indikátorokat (IoC-ket) az elutasítási listákba (blocklist), valamint frissíteniük kell vírusirtóikat és tűzfalaikat.
Ezen túlmenően fontos az alkalmazottak folyamatos oktatása az e-mailes fenyegetésekről és az online biztonsági tudatosság növelése érdekében. Az erős jelszóhasználat és kétfaktoros hitelesítés szintén hatékony védelmi réteget képezhet.
Záró gondolatok
A DanaBot visszatérése ismételten rámutat arra, hogy a kiberbűnözők soha nem alszanak – különösen akkor nem, ha anyagi haszon reményében folytathatják tevékenységüket. Az új Tor-alapú C2 infrastruktúra pedig komoly kihívást jelent mind a biztonsági szakembereknek, mind pedig az érintett szervezeteknek.
Ha Ön is szeretné csökkenteni vállalata kockázatait és hatékonyan védekezni az ilyen típusú fenyegetések ellen, ne habozzon frissíteni biztonsági eszközeit és követni a legfrissebb biztonsági ajánlásokat!
