DanaBot est un Cheval de Troie bancaire découvert en 2018 par l’éditeur de sécurité Proofpoint.
Au début de son apparition, il a ciblé des utilisateurs via des campagnes de phishing contenant des URLs vers des sites malveillants ou des fichiers malveillants en faisant croire à l’utilisateur que l’e-mail provient d’une entreprise légitime.
Le but de cette attaque est que l’utilisateur clique sur le lien et renseigne ses données confidentielles (login, mot de passe, numéro compte bancaire…etc.) et ensuite que le programme malveillant les récupère.
Comme la plupart des programmes malveillants, DanaBot utilise la technique d’attaque via une pièce jointe infectée. Les cybercriminels usurpent des pages web et envoient des e-mails en faisant croire que la source est légitime. Le texte du mail incite l’utilisateur à ouvrir la pièce jointe (DOC ou PDF). Une fois le document ouvert, le programme malveillant est téléchargé via une macro ou pop-up qui apparaît pour demander à l’utilisateur d’activer les macros. À l’aide d’une structure modulaire, le programme malveillant télécharge des plug-in supplémentaires qui lui permettent d’intercepter le trafic et de voler les données sensibles de la victime.
Quelques exemples des plug-in utilisés :
– VNC : ce plug-in permet d’établir une connexion entre l’ordinateur infecté et le contrôle à distance.
– Sniffer : il permet d’injecter des scripts malveillants sur le navigateur de la victime, généralement lorsqu’une personne visite un site bancaire en ligne.
– Stealer : ce plug-in permet de voler des mots de passe provenant d’une grande variété d’applications (navigateurs, messagerie, client VPN …etc.)
Une nouvelle vague d’attaques du Cheval de Troie a été identifiée en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Cette variante est configurée comme « malware as a service » dans laquelle un attaquant contrôle l’infrastructure de commande et de contrôle à distance (C&C) ensuite, il vend les accès à d’autres attaquants affiliés. La nouvelle version du malware utilise le réseau ToR pour créer un canal de communication secret entre l’attaquant et la victime (reverse backdoor).
Depuis 2020 l’activité de Danabot a chuté, probablement liée à la pandémie COVID-19 ou à la concurrence d’autres malwares bancaires qui ne cesse d’évoluer.
Pour plus d’informations :
https://www.proofpoint.com/us/blog/threat-insight/new-year-new-version-danabot
https://www.fortinet.com/blog/threat-research/breakdown-of-a-targeted-danabot-attack
[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.