DanaBot: sigiloso troyano bancario que está afectando a Europa


Investigadores de ESET descubrieron una nueva campaña de DanaBot dirigida a varios países de Europa, luego de haber sido detectado en un primer momento en campañas dirigidas a Australia y luego a Polonia.

Recientemente, hemos detectado un incremento en la actividad de DanaBot, un sigiloso troyano bancario descubierto a principios de este año. El malware, primero observado en campañas dirigidas a Australia y más tarde a Polonia, aparentemente se siguió expandiendo, con campañas que se detectaron en Italia, Alemania, Austria y desde septiembre de 2018: Ucrania.

¿Qué es DanaBot?

DanaBot es un troyano bancario modular que fue analizado primero por Proofpoint, en mayo de 2018, luego de ser descubierto en campañas de correo maliciosas dirigidas a usuarios en Australia. El troyano es escrito en Delphi, tiene una arquitectura multi-stage y multi componente, y la mayoría de sus funcionalidades son implementadas a través de plug-ins.

Nuevas campañas

Justo dos semanas después de haber sido ampliamente reportada la campaña en Australia, se detectó una campaña de DanaBot dirigida a Polonia. Según nuestras investigaciones, la dirigida a Polonia aún está activa y es la campaña más larga que se ha detectado hasta el momento. Para comprometer a sus víctimas, los atacantes detrás de la campaña dirigida a Polonia utilizan correos que se presentan como facturas provenientes de distintas compañías, como se puede ver en la Figura 1. La campaña hace uso de una combinación de PowerShell y scripts VBS conocidos como Brushaloader.

Figura 1 – Ejemplo de correo spam utilizado como parte de la campaña de DanaBot dirigida a usuarios de Polonia en septiembre de 2018.

A comienzos de este mes, investigadores de ESET descubrieron varias campañas pequeñas dirigidas a bancos de Italia, Alemania y Austria que utilizaban el mismo método de distribución que se observó en la campaña dirigida a Polonia. Más allá de este desarrollo, el 8 de septiembre de 2018, ESET descubrió una nueva campaña de DanaBot que apuntaba a usuarios de Ucrania. El software y sitios web a los cuales se dirigía esta nueva campaña están listados al final de este artículo.

La Figura 2 muestra un pico en el ratio de detecciones de DanaBot al final de agosto y nuevamente en septiembre de 2018, tal como se puede apreciar según datos aportados por nuestra telemetría.
Figura 2 – Visualización de las detecciones de DanaBot por los productos de ESET durante los últimos dos meses.

Mejoras en los Plug-in

Debido a su arquitectura modular, DanaBot se aprovecha de plug-ins para la mayoría de sus funcionalidades.
Los siguientes plug-ins han sido mencionados previamente como parte de la campaña dirigida a Australia en mayo de 2018.
  • VNC plug-in – establece una conexión con la computadora de la víctima para controlarla de manera remota.
  • Sniffer plug-in – inyecta scripts maliciosos en el navegador de la víctima, generalmente mientras visita sitios bancarios a través de Internet.
  • Stealer plug-in – recopila contraseñas de una amplia variedad de aplicaciones (navegadores, clientes FTP, clientes VPN, chat y programas de email, programas de poker, etc)
  • TOR plug-in – instala un proxy de TOR y habilita el acceso a sitios web .onion.
De acuerdo a nuestra investigación, los atacantes han introducido varios cambios a los plug-ins de DanaBot desde la detección de las campañas anteriores.

En Agosto de 2018, los atacantes comenzaron a utilizar el plug-in de TOR para actualizar la lista de servidores C&C desde y7zmcwurl6nphcve.onion. Si bien este plug-in puede ser potencialmente utilizado para crear un canal de comunicación encubierto entre el atacante y la víctima, no tenemos ninguna evidencia de tal uso hasta la fecha.

Adicionalmente, los atacantes han extendido el rango del plug-in robador con una versión de 64-bit compilada el 25 de agosto de 2018, expandiendo la lista de programas potencialmente afectados por DanaBot.

Finalmente, a comienzos de septiembre de 2018, un plug-in RDP fue añadido a DanaBot. Se basa en el proyecto de código abierto RDPWrap que provee conexiones mediante protocolo de escritorio remoto (RDP, por sus siglas en inglés) a máquinas con Windows que normalmente no lo soportan.

Podrían ser varias las razones por las que los desarrolladores de DanaBot agregaron otro plug-in que habilita el acceso remoto además del plug-in VNC: primero, el protocolo RDP es más difícil que sea bloqueado por firewalls. Segundo, RDPWrap permite que varios usuarios usen la misma máquina al mismo tiempo, habilitando a los atacantes a realizar operaciones de reconocimiento mientras que la víctima (que no tiene sospecha de nada) aún está utilizando la máquina.

Conclusión

Nuestros hallazgos muestran que DanaBot aún sigue siendo utilizado y se mantiene en permanente desarrollo. Recientemente se ha detectado en países europeos. Las nuevas funcionalidades introducidas en las últimas campañas indican que los atacantes detrás de DanaBot continúan haciendo uso de la arquitectura modular del malware para incrementar su ratio de alcance y éxito.

Los sistemas de ESET detectan y bloquean todos los componentes de DanaBot y los plug-ins bajo los nombres de detección que figuran en la lista de los Indicadores de Compromiso (IoC). El programa y los dominios alcanzados en estas recientes campañas están listados a continuación de este artículo.
Esta investigación fue llevada a cabo por Tomáš Procházka y Michal Kolář.

Programas utilizados como blancos

Programas utilizados como blanco en todas las campañas europeas

*electrum*.exe*
*electron*.exe*
*expanse*.exe*
*bitconnect*.exe*
*coin-qt-*.exe*
*ethereum*.exe*
*-qt.exe*
*zcash*.exe*
*klient*.exe*
*comarchcryptoserver*.exe*
*cardserver*.exe*
*java*.exe*
*jp2launcher*.exe*

Programas utilizados como blanco en campaña de Ucrania

El 8 de septiembre, DanaBot comenzó a dirigirse a los siguientes programas bancarios corporativos y herramientas de acceso remoto:
*java*.exe*
*jp2launcher*.exe*
*srclbclient*.exe*
*mtbclient*.exe*
*start.corp2*.exe*
*javaw.*exe*
*node*.exe*
*runner*.exe*
*ifobsclient*.exe*
*bank*.exe*
*cb193w*.exe*
*clibankonlineen*.exe*
*clibankonlineru*.exe*
*clibankonlineua*.exe*
*eximclient*.exe*
*srclbclient*.exe*
*vegaclient*.exe*
*mebiusbankxp*.exe*
*pionner*.exe*
*pcbank*.exe*
*qiwicashier*.exe*
*tiny*.exe*
*upp_4*.exe*
*stp*.exe*
*viewpoint*.exe*
*acdterminal*.exe*
*chiefterminal*.exe*
*cc*.exe*
inal*.exe*
*uniterm*.exe*
*cryptoserver*.exe*
*fbmain*.exe*
*vncviewer*.exe*
*radmin*.exe*

Dominios apuntados

Nótese que los caracteres comodines son utilizados en la configuración, con lo cual esta lista solo contiene portales que pueden ser identificados de manera confiable.

Dominios apuntados de Italia

  • credem.it
  • bancaeuro.it
  • csebo.it
  • inbank.it
  • bancopostaimpresaonline.poste.it
  • bancobpm.it
  • bancopopolare.it
  • ubibanca.com
  • icbpi.it
  • bnl.it
  • banking4you.it
  • bancagenerali.it
  • ibbweb.tecmarket.it
  • gruppocarige.it
  • finecobank.com
  • gruppocarige.it
  • popso.it
  • bpergroup.net
  • credit-agricole.it
  • cariparma.it
  • chebanca.it
  • creval.it
  • bancaprossima.com
  • intesasanpaoloprivatebanking.com
  • intesasanpaolo.com
  • hellobank.it

Dominios apuntados de Alemania

  • bv-activebanking.de
  • commerzbank.de
  • sparda.de
  • comdirect.de
  • deutsche-bank.de
  • berliner-bank.de
  • norisbank.de
  • targobank.de

Dominios apuntados de Austria

  • sparkasse.at
  • raiffeisen*.at
  • bawagpsk.com

Dominios apuntados de Ucrania

Dominios añadidos el 14 de septiembre de 2018:
  • bank.eximb.com
  • oschadbank.ua
  • client-bank.privatbank.ua
Dominios añadidos el 17 de septiembre de 2018:
  • online.pumb.ua
  • creditdnepr.dp.ua

Webmails apuntados

  • mail.vianova.it
  • mail.tecnocasa.it
  • MDaemon Webmail
  • email.it
  • outlook.live.com
  • mail.one.com
  • tim.it
  • mail.google
  • tiscali.it
  • roundcube
  • horde
  • webmail*.eu
  • webmail*.it
Billeteras de criptomonedas apuntadas
*\wallet.dat*
*\default_wallet*
Ejemplo de configuraciones de campañas dirigidas a Polonia, Italia, Alemania y Austria

Indicadores de Compromiso (IoCs)

Servidores utilizados por DanaBot
Nótese que “Activos” se refiere a servidores maliciosos  stands for serving malicious content as of September 20, 2018.
ServerStatus
45.77.51.69Active
45.77.54.180Active
45.77.231.138Active
45.77.96.198Active
178.209.51.227Active
37.235.53.232Active
149.154.157.220Active
95.179.151.252Active
95.216.148.25 Inactive
95.216.171.131Inactive
159.69.113.47Inactive
159.69.83.214Inactive
159.69.115.225Inactive
176.119.1.102Inactive
176.119.1.103Active
176.119.1.104Active
176.119.1.109Inactive
176.119.1.110Active
176.119.1.111Active
176.119.1.112Active
176.119.1.114Inactive
176.119.1.116Active
176.119.1.117Inactive
104.238.174.105Active
144.202.61.204Active
149.154.152.64Active

Hashes de ejemplo

Nótese que las nuevas creaciones de los principales componentes son lanzados cada 15 minutos, con lo cual los hashes puede que no sean los últimos disponibles.
ComponentSHA1Detection
Infection vector in Europe782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAEVBS/TrojanDownloader.Agent.PYC
Infection vector in Ukraine79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8JS/TrojanDropper.Agent.NPQ
Dropper70F9F030BA20E219CF0C92CAEC9CB56596F21D50Win32/TrojanDropper.Danabot.I
DownloaderAB0182423DB78212194EE773D812A5F8523D9FFDWin32/TrojanDownloader.Danabot.I
Main module (x86)EA3651668F5D14A2F5CECC0071CEB85AD775872CWin32/Spy.Danabot.F
Main module (x64)47DC9803B9F6D58CF06BDB49139C7CEE037655FEWin64/Spy.Danabot.C

Plug-ins

RDPC31B02882F5B8A9526496B06B66A5789EBD476BEWin32/Spy.Danabot.H
Stealer (x86)3F893854EC2907AA45A48FEDD32EE92671C80E8DWin32/Spy.Danabot.C
Stealer (x64)B93455B1D7A8C57F68A83F893A4B12796B1E636CWin64/Spy.Danabot.E
SnifferDBFD8553C66275694FC4B32F9DF16ADEA74145E6Win32/Spy.Danabot.B
VNCEBB1507138E28A451945CEE1D18AEDF96B5E1BB2Win32/Spy.Danabot.D
TOR73A5B0BEE8C9FB4703A206608ED277A06AA1E384Win32/Spy.Danabot.G