SECURITY7. Februar 2019

DanaBot-Upgrade: Online-Bankräuber verschlüsseln C&C-Kommunikation nun mehrfach

cybercrime, hacking and technology concept - male hacker with headphones and coding on laptop computer screen wiretapping or using computer virus program for cyber attack in dark room
dolgachov/bigstock.com

DanaBot hat ein erhebliches Upgrade bekommen: Über eine neue Schadcode-Architektur wird die Kommunikation zwischen dem befallenen Opfer-PC und den C&C-Servern nun mehrfach verschlüsselt (AES und RSA). Eine Nachverfolgung der Datenströme und die Enttarnung der Täter werde dadurch immens erschwert, meldet Eset.

Neben Emotet zählt der seit 2018 ak­ti­ve Com­pu­ter­schäd­ling Dana­Bot zu den ag­gres­sivs­ten Ban­king-Tro­ja­nern. In Dana­Bot wer­den vie­le Res­sour­cen ein­ge­setzt, um im ho­hen Tem­po neue Ver­sio­nen zu ver­tei­len. Das jetzt ent­deck­te Up­date von En­de Ja­nu­ar 2019 eitnhäl­t u.a. ei­ne neue Ar­chi­tek­tur.

Die Kom­mu­ni­ka­ti­on zu den Com­mand & Con­trol Ser­vern er­fol­ge nun mehr­fach ver­schlüs­selt, so­wohl durch AES als auch RSA.

Professionelle Update-Strategie für alte DanaBot-Versionen

Als Update rollen die Täter die modifizierte Version automatisiert an bereits infizierte DanaBot-Opfer. Eine zweite und erfolgreiche Verbreitungsvariante ist der Versand von SPAM mit schädlichen Dateianhängen (in bekannten Formen von vermeintlichen Rechnungen, Shopping-Angeboten, Bankinformationen oder Bestellbestätigungen).

ESET Thomas Uhlemann - interprettiert das neue DanaBot-Upgrade
Eset

Neben der Qualität und der permanenten Malware-Produktpflege zeigt das vor allem eins: Die Gruppierung, die hinter DanaBot steckt, muss über professionelle und leistungsfähige eCrime-Strukturen verfügen. Offenbar haben die Autoren hinter DanaBot diese Veröffentlichungen dazu benutzt, die Struktur des Schädlings der Kampagne entsprechend hochdynamisch anzupassen, um Erkennungen, etwa auf Netzwerkebene, zu entgehen.“

Thomas Uhlemann, ESET Security Specialist

Eine weitere Änderung des Trojaners betrifft die Vorgehensweise. In der älteren Variante hat eine Downloader-Komponente erst das Hauptmodul aus dem Netz nachgeladen, welches dann wiederum die Plugins und Konfigurationen herunterlud. Die neue Version registriert einen sogenannten Loader als Betriebssystemdienst, welcher dann das Hauptmodul zusammen mit den Plugins und Konfigurationen nachlädt.

DanaBot ist nicht auf einen scharf begrenzten geografischen bereich ausgelegt, sondern infizierte Opfer der seit vergangenem beginnend in Australien, später in Polen, Italien, Deutschland, Österreich, Ukraine und den USA. Die europäischen Versionen verfügen zudem über Features mit Plugins und Spam-Versand-Möglichkeiten.

Auf der Eset-Website stellen die Analysten die aktuellen Erkenntnisse im Detail vor.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert