Атаки троянца DanaBot в Европе

Компания ESET сообщила о росте активности банковского троянца DanaBot. Операторы вредоносной программы развивают ее и тестируют в странах Европы, увеличивая охват и результативность атак. Злоумышленники, стоящие за распространением DanaBot, используют спам-рассылки, которые имитируют счета от различных компаний.

Троянец DanaBot на языке Delphi был обнаружен в 2018 г. Первоначально он использовался в спам-кампаниях в Австралии, но через две недели уже был зафиксирован в атаке, нацеленной на польских пользователей. В настоящее время операторы DanaBot расширили географию – атакованы также пользователи из Италии, Германии, Австрии и Украины.

DanaBot имеет модульную архитектуру, в основе большинства его функций лежат плагины. В мае 2018 г. в арсенале операторов троянца были следующие плагины:

• VNC – устанавливает соединение с компьютером и удаленно управляет им;
• Sniffer – внедряет вредоносный скрипт в браузер, как правило, при посещении банковских сайтов;
• Stealer – собирает пароли из широкого спектра приложений (браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.);
• TOR – устанавливает TOR-прокси и обеспечивает доступ к сайтам .onion.

С августа операторы DanaBot внесли изменения в архитектуру троянца, добавив новые функции. Появился плагин TOR, который потенциально можно использовать для создания скрытого канала связи между злоумышленником и жертвой, а также 64-битная версия плагина Stealer и новый плагин для удаленного доступа к рабочему столу.