Malware

วิวัฒนาการของ DanaBot กับความสามารถใหม่ในการส่งสแปม

DanaBot — โทรจันธุรกรรมกับความสามารถใหม่ในการส่งสแปม และความร่วมมือกับอาชญากรไซเบอร์รายอื่น

งานวิจัยของ ESET บอกว่าผู้อยู่เบื้องหลัง DanaBot ได้ขยายขอบเขตของมัลแวร์ และเพิ่มความสามารถในการทำงานร่วมกับกลุ่มอาชญากรไซเบอร์อื่น

DanaBot เป็นที่รู้จักในฐานะโทรจันธุรกรรม จากงานวิจัยพบว่ามีการรวบรวมอีเมล และส่งสแปม จากฐานข้อมูลบัญชีของเหยื่อ เพื่อขยายขอบเขตการแพร่กระจายมัลแวร์

นอกจากฟีเจอร์ใหม่แล้ว เรายังพบหลักฐานความร่วมมือกับแฮกเกอร์กลุ่มอื่นผู้อยู่เบื้องหลังมัลแวร์ Gootkit กับโทรจันที่วิเคราะห์จากความสามารถแล้วว่ามาจากกลุ่มอื่น

ส่งสแปมจากกล่องจดหมายของเหยื่อ

จากการวิจัยของเราโค้ด Javascript ที่แฮกเกอร์ใส่ลงไปในหน้าเซอร์วิส Webmail มีฟีเจอร์หลัก 2 รูปแบบ:

DanaBot จะรวบรวมรายชื่อีเมลที่อยู่ในกล่องจดหมาย ด้วยการใส่สคริปท์ลงไปในหน้าเซอร์วิส Webmail และเมื่อเหยื่อล็อคอิน สคริปท์จะเริ่มทำงานและส่งที่อยู่อีเมลไปยังเซิร์ฟเวอร์ C&C ของแฮกเกอร์

ถ้าเซอร์วิส Webmail ของเป้าหมายเป็น Open-Xchange suite อย่างเช่น libero.it ที่นิยมในอิตาลี — DanaBot จะใส่สคริปต์เพื่อส่งสแปมไปยังอีเมลที่รวบรวมมาได้

ซึ่งอีเมลที่ส่งไปจะเป็นการตอบกลับ (Reply) ทำให้ดูเหมือนมาจากเจ้าของอีเมลตัวจริง พร้อมลายเซ็นต์ Digital Signature

ความเกี่ยวข้องของ DanaBot และ GootKit

จากการวิเคราะห์ไฟล์ VBS อันตรายบนเซิร์ฟเวอร์ C&C ของ DanaBot เราพบจุดเชื่อมโยงไปยังโมดูลของ GootKit และโทรจันธุรกรรม

นี่เป็นครั้งแรกที่เราพบว่า DanaBot แพร่กระจายมัลแวร์ตัวอื่นๆ ซึ่งเราเชื่อว่า DanaBot อาจมีผู้อยู่เบื้องหลังเพียงคนเดียว หรือเป็นกลุ่มเฉพาะ แต่สำหรับ GootKit ซึ่งมีเครื่องมือที่ไม่ได้ขายอยู่ตามฟอรั่มใต้ดิน น่าจะมีกลุ่มเป็นของตัวเอง

สรุป

งานวิจัยของเราชี้ให้เห็นว่า DanaBot ครอบคลุมมากกว่าการเป็นแค่โทรจันธุรกรรม และมีการอัพเดตฟีเจอร์ใหม่ๆ ทดลองวิธีการแพร่กระจาย รวมถึงร่วมมือกับกลุ่มอาชญากรไซเบอร์รายอื่นๆ

ผลิตภัณฑ์ของ ESET สามารถตรวจจับและยับยั้งการทำงานของ DanaBot และ GootKit ได้

รายชื่อเซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์รวบรวมอีเมล

  • Any service based on Roundcube
  • Any service based on Horde
  • Any service based on Open-Xchange
  • aruba.it
  • bluewin.ch
  • email.it
  • gmx.net
  • libero.it
  • mail.yahoo.com
  • mail.google.com
  • mail.one.com
  • outlook.live.com
  • tecnocasa.it
  • tim.it
  • tiscali.it
  • vianova.it

เซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์ส่งสแปม

  • Any service based on Open-Xchange

Indicators of Compromise (IoCs)

Domains used by the VBS file to download malware (GootKit at the time of writing)

  • job.hitjob[.]it
  • vps.hitjob[.]it
  • pph.picchio-intl[.]com
  • dcc.fllimorettinilegnaegiardini[.]it
  • icon.fllimorettinilegnaegiardini[.]it
  • team.hitweb[.]it
  • latest.hitweb[.]it
  • amd.cibariefoodconsulting[.]it

Example domains used by the GootKit downloader module

  • vps.cibariefoodconsulting[.]it
  • ricci.bikescout24[.]fr
  • drk.fm604[.]com
  • gtdspr[.]space
  • it.sunballast[.]de

Active DanaBot C&C servers (as of December 6, 2018)

  • 5.8.55[.]205
  • 31.214.157[.]12
  • 47.74.130[.]165
  • 149.154.157[.]106
  • 176.119.1[.]99
  • 176.119.1[.]100
  • 176.119.1[.]120
  • 176.119.1[.]176
  • 176.223.133[.]15
  • 185.254.121[.]44
  • 188.68.208[.]77
  • 192.71.249[.]50

Example VBS file from a spam email

SHA-1 ESET detection name
A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76 VBS/Kryptik.KY

Example of downloaded GootKit

SHA-1 ESET detection name
0C2389B3E0A489C8E101FFD0E3E2F00E0C461B31 Win32/Kryptik.GNNS

Author: ESET Research
Source:
https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond-banking-trojan-new-spam/
Translated by: Worapon H.

%d bloggers like this: