DanaBot-Upgrade: C&C-Kommunikation nun mehrfach verschlüsselt

cybercrime, hacking and technology concept - male hacker with headphones and coding on laptop computer screen wiretapping or using computer virus program for cyber attack in dark room — dolgachov/bigstock.com

DanaBot hat ein erhebliches Upgrade bekommen: Über eine neue Schadcode-Architektur wird die Kommunikation zwischen dem befallenen Opfer-PC und den C&C-Servern nun mehrfach verschlüsselt (AES und RSA). Eine Nachverfolgung der Datenströme und die Enttarnung der Täter werde dadurch immens erschwert, meldet Eset.

Neben Emotet zählt der seit 2018 aktive Computerschädling DanaBot zu den aggressivsten Banking-Trojanern. In DanaBot werden viele Ressourcen eingesetzt, um im hohen Tempo neue Versionen zu verteilen. Das jetzt entdeckte Update von Ende Januar 2019 eitnhält u.a. eine neue Architektur.

Die Kommunikation zu den Command & Control Servern erfolge nun mehrfach verschlüsselt, sowohl durch AES als auch RSA.

Professionelle Update-Strategie für alte DanaBot-Versionen

Als Update rollen die Täter die modifizierte Version automatisiert an bereits infizierte DanaBot-Opfer. Eine zweite und erfolgreiche Verbreitungsvariante ist der Versand von SPAM mit schädlichen Dateianhängen (in bekannten Formen von vermeintlichen Rechnungen, Shopping-Angeboten, Bankinformationen oder Bestellbestätigungen).

ESET Thomas Uhlemann - interprettiert das neue DanaBot-Upgrade — Eset

Neben der Qualität und der permanenten Malware-Produktpflege zeigt das vor allem eins: Die Gruppierung, die hinter DanaBot steckt, muss über professionelle und leistungsfähige eCrime-Strukturen verfügen. Offenbar haben die Autoren hinter DanaBot diese Veröffentlichungen dazu benutzt, die Struktur des Schädlings der Kampagne entsprechend hochdynamisch anzupassen, um Erkennungen, etwa auf Netzwerkebene, zu entgehen.“

Thomas Uhlemann, ESET Security Specialist

Eine weitere Änderung des Trojaners betrifft die Vorgehensweise. In der älteren Variante hat eine Downloader-Komponente erst das Hauptmodul aus dem Netz nachgeladen, welches dann wiederum die Plugins und Konfigurationen herunterlud. Die neue Version registriert einen sogenannten Loader als Betriebssystemdienst, welcher dann das Hauptmodul zusammen mit den Plugins und Konfigurationen nachlädt.

DanaBot ist nicht auf einen scharf begrenzten geografischen bereich ausgelegt, sondern infizierte Opfer der seit vergangenem beginnend in Australien, später in Polen, Italien, Deutschland, Österreich, Ukraine und den USA. Die europäischen Versionen verfügen zudem über Features mit Plugins und Spam-Versand-Möglichkeiten.

Auf der Eset-Website stellen die Analysten die aktuellen Erkenntnisse im Detail vor.aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/84802