攻防最前線:銀行木馬DanaBot新增散佈垃圾郵件功能
新的研究顯示,DanaBot似乎已經超越了銀行木馬的範疇。根據網路安全公司ESET的研究,它的運營商最近一直在測試電子郵箱地址收集和垃圾郵件傳送功能,能夠濫用現有受害者的Webmail帳戶來進一步傳播惡意軟體。
除了這些新特徵之外,ESET還發現了DanaBot運營商一直在與GootKit背後的犯罪團伙合作的證據。GootKit是另一種高階木馬,一直被認為是某個獨立犯罪團伙的私有工具。
使用受害者郵箱傳送垃圾郵件
2018年9月份, ofollow,noindex" target="_blank">DanaBot 在歐洲的活動開始激增。在分析將幾個義大利Webmail服務使用者作為攻擊目標的樣本中,DanaBot的一些新功能引起了ESET的注意。
根據ESET的研究,注入目標Webmail服務頁面的JavaScript/">JavaScript可以分為兩個主要特徵:
1.DanaBot從現有受害者的郵箱中收集電子郵箱地址。這是通過在受害者登入後將惡意指令碼注入目標Webmail服務的網頁、分析受害者的電子郵件,並將其找到的所有電子郵箱地址傳送到C&C伺服器來實現的。
圖1.DanaBot收集電子郵箱地址
2.如果目標Webmail服務基於Open-Xchange套件(如流行的義大利Webmail服務libero.it),DanaBot還會注入另一個指令碼,該指令碼能夠使用受害者的郵箱隱祕地將垃圾郵件傳送給收集到的電子郵箱地址。
惡意電子郵件將作為對現有受害者郵箱中電子郵件的回覆傳送,使其看起來像是郵箱所有者傳送的。此外,通過這種方式傳送的惡意電子郵件將具有有效的數字簽名。
值得注意的是,攻擊者似乎對包含子字串“pec”的電子郵箱地址特別感興趣。這裡需要指出的是,pec是posta elettronica certificatad的簡稱,是義大利使用的一種電子郵箱認證服務。這可能表明,DanaBot的開發者主要關注是使用該認證服務的企業和公共管理機構。
這些電子郵件會被新增上從C&C伺服器下載的ZIP附件,其中包含一份誘餌PDF檔案和一個惡意VBS檔案。執行這個VBS檔案,會導致一個PowerShell命令的執行,以下載用於後續攻擊的其他惡意軟體。
圖2.用於從C&C伺服器下載惡意ZIP檔案的程式碼
圖3.用於建立電子郵件及新增惡意ZIP附件的程式碼
圖4.包含惡意ZIP附件的垃圾郵件樣本,來自最近針對義大利的攻擊活動(樣本來源:VirusTotal)
圖5. ZIP附件所包含的內容
在撰寫本文時,具備上述惡意特徵的DanaBot僅在義大利被發現,目標服務在本文的最後列出。
DanaBot和GootKit之間的關聯
在分析了DanaBot C&C伺服器上可用的惡意VBS檔案之後,ESET發現它指向了一個GootKit的downloader模組。GootKit是一種高階隱形木馬,主要被用於銀行欺詐攻擊。惡意VBS檔案似乎是自動生成的,並且在每次訪問時都不同。
值得注意的是,這是ESET首次觀察到DanaBot分發其他惡意軟體。到目前為止,DanaBot仍被認為是某個獨立犯罪團伙的私有工具。而這種情況對於GootKit來說也是首次出現,因為GootKit也被認為某個獨立犯罪團伙的私有工具,並沒有在地下論壇上出售。有意思的是,ESET在最近還觀察到了另一起GootKit被其他惡意軟體分發的案例,即最近旨在傳播Emotet木馬的 “黑色星期五和網路星期一”垃圾郵件活動 。
除了在DanaBot C&C伺服器上存在GootKit之外,ESET還發現了進一步的證據,能夠證明DanaBot和GootKit的運營商之間正在進行合作。
首先,ESET的遙測顯示,在GootKit活動中使用的C&C伺服器子網和頂級域名(TLD),同樣也被DanaBot所使用。在176.119.1.0/24子網中,DanaBot使用了許多IP地址來充當C&C伺服器以及用於重定向。雖然DanaBot域名每隔幾天就會發生變化,但.co仍是最常見的TLD(例如,egnacios[.]co、kimshome[.]co等)。
其次,DanaBot和GootKit所使用的.co域名通常都註冊於相同的域名註冊商,即Todaynic.com, Inc,並且大多數都共享同一服務,即dnspod.com。
最後,在2018年10月29日開始的那一週裡,ESET的遙測顯示,DanaBot在波蘭的活動顯著減少,而在同一周,GootKit在波蘭的活動明顯增加。在這期間,GootKit在波蘭的活動中使用了與DanaBot相同的方式進行傳播。
圖6.2018年10月8日至11月8日期間,DanaBot和GootKit在波蘭的活動
與其他惡意軟體家族的關聯
在分析DanaBot時,ESET還注意到,DanaBot配置的一部分具有ESET之前在其他惡意軟體家族中看到過的結構,例如Tinba或Zeus。這允許DanaBot的開發者使用類似的Web注入指令碼,甚至重用第三方指令碼。
值得注意的是,有一些指令碼與 BackSwap木馬 所使用的指令碼幾乎完全相同,包括命名規則和指令碼在伺服器上的位置。
圖7.BackSwap(左)和DanaBot(右)所使用指令碼的對比。差異以橙色標記
總結
ESET的研究表明,與典型的銀行木馬相比,DanaBot目前的功能要更加豐富。其運營商會定期為它新增新的功能,測試新的分發載體,並可能正在與其他網路犯罪團伙進行合作。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。