最近出现一个DanaBot银行木马进行的网络钓鱼活动，非法分子向潜在的受害者发送邮件，声称邮件内容是MYOB的发票。MYOB是一家澳大利亚跨国公司，为中小企业提供税务、会计和其他商业服务软件。但实际上，信件包含一个可下载DanaBot银行木马的dropper文件，一旦下载，木马程序就会窃取私人和敏感信息，并将机器系统和桌面的截屏发送给命令和控制服务器。

感染方式

MYOB的澳大利亚客户发现了一系列网络钓鱼电子邮件诈骗事件。钓鱼邮件使用标准的类似MYOB的html发票模板伪装，以说服用户; 而其中内容告诉客户发票已到期并通过电子邮件底部的按钮要求他们“查看发票”。

Trustwave的威胁情报经理Karl Sigler分析，犯罪分子可能购买或者挖掘了MYOB客户名单。鉴于人们在各种场合公开分享了很多信息，尤其是社交网络，获取名单难度不高。但Trustwave没有任何关于该活动特定目标受害者数量的信息。

有趣的是，这些邮件没有使用更常见的HTTP应用程序层协议进行链接，而是利用了文件传输协议(FTP)指向受攻击的FTP服务器(主要使用澳大利亚域)。研究人员介绍:“点击‘查看发票’按钮，就会从我们以为是一家澳大利亚公司的FTP服务器上下载一个压缩文件。”“FTP凭证是在' 查看发票 '按钮中嵌入的FTP链接中提供的。不同于常见情况，使用FTP是一种“奇怪的选择。由此看来，犯罪分子可能已经侵入了一家澳大利亚公司的FTP服务器，并利用它来传播恶意软件。这可能只是为了方便和利用他们当时的资源。”

而压缩文件内则包含一个JavaScript下载器，在执行存档时会下载DanaBot木马。

DanaBot介绍

DanaBot是今年5月发现的一种银行木马，它通过含有恶意url的电子邮件攻击澳大利亚的用户，最初由proofpoint的研究人员发现。迄今为止，它已经成为2018年最大的网络犯罪事件之一。

DanaBot是最新的恶意软件的样本，关注持久性和窃取有用的信息，这些信息后来可以被货币化，而无需要求受害者立即索取赎金。DanaBot的模块化特性使它能够下载更多组件，从而提高了这位银行家的灵活性和强大的窃取能力以及远程监控能力。

在最近的这次活动中，DanaBot恶意软件首先将一个下载程序文件放入磁盘并执行。然后下载一个主DLL(动态链接库，它包含代码和数据，可以同时被多个程序使用)。下载后，DanaBot主DLL会下载并解密一个包含各种模块和配置文件的加密文件。DLL模块包括VNC、偷取器、嗅探器和TOR。从加密文件中提取的DLL的文件名揭示了攻击者的真实意图，这些dll使攻击者能够通过VNC创建和控制远程主机，窃取私人和敏感信息，并通过Tor使用隐蔽通道。”

同时，5个配置文件（PInject，BitKey，BitVideo，BitFilesX和Zfilter）将使用自己的功能进行设置。Sigler告诉媒体，“这些文件被恶意软件用作对受害者机器上寻找内容的参考。”其中PInject有指向澳大利亚银行的Web注入配置文件。BitKey和BitVideo是另外两个内含机器人将监控的加密货币进程列表的配置文件。BitFilesX配置了监视的加密货币文件列表。最后，Zfilter会搜索恶意软件应监控网络嗅探的进程。

研究人员还指出，DanaBot恶意软件似乎托管在已经配置了“循环DNS”的域上，该域使用多个IP来轮换流量并将其指向攻击者控制的基础架构。

结论

网络犯罪分子以澳大利亚公司的受害者为目标，并通过复杂的多阶段，多组件和隐形银行木马（如DanaBot）来感染他们的私人和敏感信息。在此活动中，攻击者以伪造的MYOB发票消息的形式发送有针对性的网络钓鱼电子邮件，发票链接指向托管DanaBot恶意软件的受感染FTP服务器。支持恶意软件的基础架构设计灵活，而恶意软件设计为模块化，功能分布在多个高度加密的组件上。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。