O DanaBot parece ter ultrapassado a categoria de Trojan bancário. Segundo as nossas investigações, os operadores têm vindo a experimentar funcionalidades inteligentes para recolherem endereços de e-mail e enviarem spam. Na prática, são capazes de utilizar indevidamente as contas de webmail de vítimas existentes para uma maior distribuição de malware.
Para além das novas funcionalidades, encontramos indicadores de que os operadores do DanaBot têm cooperado com os criminosos responsáveis pelo GootKit, outro avançado Trojan – comportamento atípico dos grupos operacionais independentes.
Envio de spam a partir das caixas de correio das vítimas
As funcionalidades que ainda não haviam sido referidas chamaram à nossa atenção ao analisarmos os injetores web utilizados para segmentar os utilizadores de vários serviços de webmail italianos como parte da expansão do DanaBot na Europa em setembro de 2018.
Segundo a nossa investigação, o JavaScript injetado nas páginas dos serviços de webmail direcionados pode ser dividido em duas funcionalidades principais:
O DanaBot recolhe os endereços de e-mail das caixas de correio das vítimas. Isto é conseguido injetando um script mal-intencionado nas páginas Web dos serviços de webmail segmentados assim que a vítima faz login, processando os e-mails e enviando todos os endereços de e-mail que encontrar para um servidor C&C.
Se o serviço de webmail for baseado no pacote Open-Xchange – como acontece com o popular serviço de webmail italiano libero.it – o DanaBot também injeta um script que tem a capacidade de utilizar a caixa de correio da vítima para enviar spam aos endereços de e-mail.
Os e-mails maliciosos são enviados como respostas aos e-mails reais encontrados nas caixas de correio comprometidas, fazendo parecer que os próprios proprietários da caixa de correio estão a responder. Para além disso, os e-mails maliciosos enviados a partir dessas contas têm assinaturas digitais válidas.
Curiosamente, parece que os criminosos estão particularmente interessados em endereços de e-mail que contenham a subsequência “pec”, que é encontrada em endereços de “correio eletrónico certificados” específicos da Itália. Isto pode indicar que os autores do DanaBot estão focados em direcionar os e-mails empresariais e da administração pública com maior probabilidade de utilizarem esse serviço de certificação.
Os e-mails incluem anexos ZIP pré-transferidos a partir do servidor do invasor, contendo um ficheiro PDF, ou um VBS malicioso. A execução do ficheiro VBS leva ao download de mais malware através de um comando PowerShell.
No momento em que estamos a escrever este artigo, as funcionalidades maliciosas descritas acima ainda estão especialmente destinados à Itália.
Ligações entre o DanaBot e GootKit
Tendo analisado o ficheiro VBS malicioso disponível no servidor C&C da DanaBot, descobrimos que ele aponta para o módulo de download para o GootKit, um Trojan avançado e furtivo utilizado principalmente em ataques de fraude bancária. O ficheiro VBS malicioso parece ser gerado automaticamente e é diferente em cada acesso.
Esta é a primeira vez que vemos indicadores do DanaBot a distribuir outros malwares. Até agora, acreditava-se que o DanaBot fosse operado por um único grupo fechado. O comportamento também é novo para o GootKit, que foi descrito como uma ferramenta privada, não vendida em fóruns clandestinos, e também operada por um grupo fechado. Curiosamente, vimos recentemente outra instância do GootKit a ser distribuída por outros malwares – principalmente pelo famoso Emotet Trojan nas suas últimas campanhas à volta da Black Friday e da Cyber Monday.
Além da presença do GootKit nos servidores utilizados pelo DanaBot, encontrámos links adicionais sugerindo uma cooperação entre os operadores do DanaBot e do GootKit.
Primeiro, a telemetria da ESET conseguiu ligar a atividade do GootKit a uma sub-rede do servidor C&C e a um domínio de primeiro nível (TLD), também utilizado pelo DanaBot. O DanaBot utiliza muitos endereços IP na sub-rede 176.119.1.0/24 para C&C e redireciona-os. Embora os nomes de domínio DanaBot vão mudando, .co é TLD mais comum (por exemplo, egnacios [.] Co, kimshome [.] Co, etc.). As amostras do GootKit descarregadas pela carga maliciosa tiveram o coeficiente [.] Co e relTinks [.] Co como seus C&Cs. Ambos eram resolvidos para 176.119.1.175 durante algum tempo.
Em segundo lugar, os domínios DanaBot e GootKit normalmente partilham o mesmo responsável pelo registo dos domínios .co, ou seja, Todaynic.com, Inc, e geralmente partilham o mesmo servidor de dns, dnspod.com.
Finalmente, na semana que começou a 29 de outubro de 2018, a telemetria da ESET mostrou uma redução significativa na distribuição do DanaBot na Polónia; Na mesma semana, houve um pico de atividade do GootKit na Polónia. Durante o pico, o GootKit foi espalhado através do mesmo método de distribuição que o DanaBot utilizou nas recentes campanhas na Polónia.
Semelhança com outras famílias de malware
Ao analisar o DanaBot, também notámos que parte da configuração do DanaBot tem uma estrutura que vimos anteriormente noutras famílias de malware, por exemplo, Tinba ou Zeus. Isto permite que os programadores utilizem scripts semelhantes ou até mesmo reutilizem scripts de terceiros.
Curiosamente, alguns scripts são quase exatamente iguais aos que vimos em utilização pelo trojan BackSwap, incluindo convenções de nomenclatura e a localização do script num servidor.
Conclusão
A nossa investigação revelou que o DanaBot tem um escopo muito mais amplo do que um típico Trojan bancário, com os seus operadores a adicionarem regularmente novas funcionalidades, testando novos vetores de distribuição e possivelmente cooperando com outras organizações criminosos.
As soluções ESET detetam e bloqueiam o DanaBot e o GootKit.
Esta pesquisa foi realizada por Kaspars Osis, Tomáš Procházka e Michal Kolář.
Serviços de webmail atacados pela funcionalidade de recolha de emails
- Qualquer serviço baseado no Roundcube
- Qualquer serviço baseado no Horde
- Qualquer serviço baseado no Open-Xchange
- aruba.it
- bluewin.ch
- email.it
- gmx.net
- libero.it
- mail.yahoo.com
- mail.google.com
- mail.one.com
- outlook.live.com
- tecnocasa.it
- tim.it
- tiscali.it
- vianova.it
Serviços de Webmail atacados pela funcionalidade de envio de spam
- Qualquer serviço baseado em Open-Xchange
Domínios utilizados pelo ficheiro VBS para descarregarem malware
- job.hitjob[.]it
- vps.hitjob[.]it
- pph.picchio-intl[.]com
- dcc.fllimorettinilegnaegiardini[.]it
- icon.fllimorettinilegnaegiardini[.]it
- team.hitweb[.]it
- latest.hitweb[.]it
- amd.cibariefoodconsulting[.]it
Domínios utilizados pelo módulo de download GootKit
- vps.cibariefoodconsulting[.]it
- ricci.bikescout24[.]fr
- drk.fm604[.]com
- gtdspr[.]space
- it.sunballast[.]de
Servidores DanaBot C&C ativos (6 de Dezembro de 2018)
- 5.8.55[.]205
- 31.214.157[.]12
- 47.74.130[.]165
- 149.154.157[.]106
- 176.119.1[.]99
- 176.119.1[.]100
- 176.119.1[.]120
- 176.119.1[.]176
- 176.223.133[.]15
- 185.254.121[.]44
- 188.68.208[.]77
- 192.71.249[.]50
Ficheiro de exemplo VBS a partir de um email de spam
| SHA-1 | Nome de Deteção ESET |
|---|---|
| A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76 | VBS/Kryptik.KY |
