DanaBot ora minaccia l’Europa aggiungendo nuove funzionalità

I ricercatori ESET hanno scoperto nuove campagne DanaBot dirette verso alcuni paesi europei.

Recentemente, abbiamo notato un aumento dell’attività di DanaBot, un furtivo Trojan bancario scoperto all’inizio di quest’anno. Il malware, osservato per la prima volta nelle campagne che hanno coinvolto l’Australia e in seguito la Polonia, sembra stia dilagando ulteriormente, con campagne individuate in Italia, Germania, Austria e, a partire da settembre 2018, in Ucraina.

Cos’è il DanaBot?

DanaBot è un Trojan bancario modulare, analizzato per la prima volta da Proofpoint nel maggio 2018 dopo essere stato scoperto in campagne di e-mail pericolose indirizzate agli utenti in Australia. Il Trojan è scritto in Delphi, ha un’architettura multi-livello e multi-componente, con la maggior parte delle sue funzionalità che vengono implementate attraverso dei plug-in. Al momento della scoperta, si diceva che il malware fosse in fase di sviluppo attivo.

Nuove campagne

Appena due settimane dopo la scoperta delle campagne iniziali in Australia, DanaBot è stato individuato in una campagna destinata alla Polonia. Secondo la nostra ricerca, la campagna indirizzata alla Polonia è ancora in corso ed è ad oggi la più grande e più attiva. Per poter infettare le loro vittime, i criminali autori della campagna polacca, sfruttano delle email piuttosto plausibili che contengono delle false fatture emesse da diverse aziende, come mostrato nella Figura 1. La campagna utilizza una combinazione di script PowerShell e VBS ampiamente noti come il Brushaloader.

Figura 1 – Esempio di una email di spam usata in una delle campagne Dnabot individuata in Polonia a settembre del 2018

A inizio settembre, i ricercatori ESET hanno scoperto una campagna minore che interessava banche in Italia, Germania e Austria e che sfruttava lo stesso metodo di distribuzione impiegato nella campagna in Polonia. A seguito di questo sviluppo, l’8 settembre 2018, ESET ha scoperto una nuova campagna DanaBot destinata agli utenti ucraini. Il software e i siti Web presi di mira in queste nuove campagne sono elencati alla fine di questo articolo.

La figura 2 mostra un picco nel tasso di rilevamento di DanaBot a cavallo tra agosto e settembre 2018, come mostrato nei dati della nostra telemetria.

Figura 2 – Panoramica delle rilevazioni ESET di DanaBot negli ultimi due mesi

Miglioramenti attraverso plug-in

Data la sua architettura modulare, DanaBot si affida ai plug-in per la maggior parte delle sue funzionalità.

In precedenza sono stati citati i seguenti plugin come parte integrante delle campagne in Australia di maggio 2018:

• Plug-in VNC– stabilisce una connessione al computer di una vittima e lo controlla da remoto
• Plug-in Sniffer– inserisce script dannosi nel browser di una vittima, di solito mentre visita siti di Internet banking
• Plug-in Stealer – raccoglie password da una vasta gamma di applicazioni (browser, client FTP, client VPN, programmi di chat ed email, programmi di poker ecc.); e
• Plug-in TOR – installa un proxy TOR e permette l’accesso ai siti Web .onion.
  Secondo la nostra ricerca, i criminali hanno introdotto diverse modifiche ai plug-in DanaBot a partire dalle campagne precedentemente segnalate.

Nell’agosto 2018, hanno iniziato a utilizzare il plug-in TOR per aggiornare l’elenco dei server C & C da y7zmcwurl6nphcve.onion. Sebbene questo plug-in possa potenzialmente essere utilizzato per creare un canale di comunicazione segreto tra l’autore dell’attacco e una vittima, non abbiamo alcuna prova che abbiano iniziato a utilizzarlo per questo scopo.

Inoltre, gli autori di queste campagne hanno esteso la gamma di plug-in Stealer con una versione a 64 bit compilata il 25 agosto 2018, aumentando così l’elenco dei software che potenzialmente possono essere colpiti da DanaBot.

Infine, all’inizio di settembre 2018, a DanaBot è stato aggiunto un plug-in RDP. Si basa sul progetto open-source RDPWrap che fornisce connessioni attraverso Remote Desktop Protocol a macchine Windows che normalmente non le supportano.

Ci potrebbero essere diversi motivi per cui gli sviluppatori di DanaBot hanno aggiunto un altro plug-in che abilita l’accesso remoto oltre al plug-in VNC: Innanzitutto, il protocollo RDP ha meno probabilità di essere bloccato dai firewall. In secondo luogo, RDPWrap consente a diversi utenti di utilizzare la stessa macchina contemporaneamente, consentendo ai criminali di eseguire operazioni di controllo mentre l’ignara vittima continua ad utilizzare la macchina.

Conclusione

I nostri risultati mostrano come DanaBot sia ancora ampiamente diffuso e in fase di sviluppo, in aggiunta emerge come i criminali stiano cercando di colpire anche alcuni paesi europei. Le nuove funzionalità introdotte in queste ultime campagne indicano che gli autori del DanaBot continuano a utilizzare l’architettura modulare del malware per aumentarne la copertura e le probabilità di successo.

I sistemi ESET rilevano e bloccano tutti i componenti e i plug-in DanaBot con i nomi riportati nella sezione IoC. Il software e i domini scelti come target di queste recenti campagne sono elencati nelle seguenti sezioni di questo articolo.

Software interessati

Software interessati in tutte le campagne europee

• *electrum*.exe*
• *electron*.exe*
• *expanse*.exe*
• *bitconnect*.exe*
• *coin-qt-*.exe*
• *ethereum*.exe*
• *-qt.exe*
• *zcash*.exe*
• *klient*.exe*
• *comarchcryptoserver*.exe*
• *cardserver*.exe*
• *java*.exe*
• *jp2launcher*.exe*

Software interessati nella campagna ucraina
L’8 settembre il Danabot ha iniziato a colpire i seguenti software bancari e strumenti di accesso remoto:

• *java*.exe*
• *jp2launcher*.exe*
• *srclbclient*.exe*
• *mtbclient*.exe*
• *start.corp2*.exe*
• *javaw.*exe*
• *node*.exe*
• *runner*.exe*
• *ifobsclient*.exe*
• *bank*.exe*
• *cb193w*.exe*
• *clibankonlineen*.exe*
• *clibankonlineru*.exe*
• *clibankonlineua*.exe*
• *eximclient*.exe*
• *srclbclient*.exe*
• *vegaclient*.exe*
• *mebiusbankxp*.exe*
• *pionner*.exe*
• *pcbank*.exe*
• *qiwicashier*.exe*
• *tiny*.exe*
• *upp_4*.exe*
• *stp*.exe*
• *viewpoint*.exe*
• *acdterminal*.exe*
• *chiefterminal*.exe*
• *cc*.exe*
• inal*.exe*
• *uniterm*.exe*
• *cryptoserver*.exe*
• *fbmain*.exe*
• *vncviewer*.exe*
• *radmin*.exe*

Domini interessati

Da notare che nella configurazione vengono utilizzati caratteri speciali, quindi questo elenco contiene solo portali che possono essere identificati in modo certo.

Domini italiani interessati

• credem.itbancae
• uro.it
• csebo.it
• inbank.it
• bancopostaimpresaonline.poste.it
• bancobpm.it
• bancopopolare.it
• ubibanca.com
• icbpi.it
• bnl.it
• banking4you.it
• bancagenerali.it
• ibbweb.tecmarket.it
• gruppocarige.it
• finecobank.com
• gruppocarige.it
• popso.it
• bpergroup.net
• credit-agricole.it
• cariparma.it
• chebanca.it
• creval.it
• bancaprossima.com
• intesasanpaoloprivatebanking.com
• intesasanpaolo.com
• hellobank.it

Domini tedeschi interessati

• bv-Attivobanking.de
• commerzbank.de
• sparda.de
• comdirect.de
• deutsche-bank.de
• berliner-bank.de
• norisbank.de
• targobank.de

Domini austriaci interessati

• sparkasse.at
• raiffeisen*.at
• bawagpsk.com

Domini ucraini interessati

Domini aggiunti il 14 settembre 2018:

• bank.eximb.com
• oschadbank.ua
• client-bank.privatbank.ua

Domini aggiunti il 17 settembre 2018:

• online.pumb.ua
• creditdnepr.dp.ua

Webmail interessate

• mail.vianova.it
• mail.tecnocasa.it
• MDaemon Webmail
• email.it
• outlook.live.com
• mail.one.com
• tim.it
• mail.google
• tiscali.it
• roundcube
• horde
• webmail*.eu
• webmail*.it

Wallet di criptovaluta interessati

• *\wallet.dat*
• *\default_wallet*

Esempio di configurazione nelle campagne di Polonia, Italia, Germania e Austria

IoC
Server usati da DanaBot

Da notare che per “Attivo” si intende che fornisce contenuti malevoli al 20 settembre 2018.

Esempi di hash

Da notare che nuove versioni dei componenti principali vengono rilasciate ogni 15 minuti, quindi questi hash potrebbero non essere gli ultimi disponibili.

Plug-in

I consigli degli esperti di ESET per non cadere nella trappola del phishing

Come accennato sopra, DanaBot ha ingannato numerosi utenti grazie a testi di email phishing piuttosto plausibili. In generale però ci sono dei campanelli di avviso che dovrebbero allertare gli utenti ed evitare di cadere nella rete dei cyber criminali. Proprio per questo i ricercatori di ESET hanno individuato 5 semplici consigli da seguire:

1. Massima prudenza durante la navigazione online

Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante   usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.

2. Attenzione ai link abbreviati

E’ importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.

Gli esperti di ESET consigliano di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito che di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.

I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.

3. Dubbi su un messaggio di posta? Leggerlo di nuovo!

Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente ‘, seguiti da contenuto non plausibile o fuori contesto.

I cybercriminali spesso commettono errori in queste e-mail, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.

4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti

Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing. Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto.

5. Navigare sicuri sul protocollo HTTPS

Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare (indicato da https://blog.futuretime.eu // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito.

Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del proprio dispositivo.