Le cheval de Troie bancaire DanaBot refait surface et cible des pays en Europe

Le cheval de Troie bancaire "DanaBot" refait surface. Cette fois, le logiciel malveillant cible l'Italie, l'Allemagne, l'Autriche et l'Ukraine. DanaBot a été analysé pour la première fois en mai 2018 après avoir ciblé des utilisateurs en Australie. Il est écrit en langage Delphi, et dispose de plusieurs modes de fonctionnement et plug-ins. 

Vecteur d'infection et de propagation

Afin d'infecter ses victimes, les attaquants envoient des pourriels pour persuader les victimes de télécharger les pièces jointes contenant le maliciel.

Vecteur d'attaque

Étant un logiciel modulaire, Danabot se base sur des plug-ins pour effectuer ses tâches.

En mai, DanaBot était installé avec les plug-ins "VNC" pour le contrôle à distance, "Sniffer" pour l'injection de scripts d'espionnage dans le navigateur de la victime, "Stealer" pour l'extraction de mots de passe de plusieurs applications et "TOR" pour l'installation d'un proxy TOR.

Lors de cette dernière réapparition, les attaquants ont mis à jour le plug-in "TOR" afin d'extraire la liste de serveurs de commande et contrôle de "y7zmcwurl6nphcve[.]onion". De plus, le plug-in "Stealer" a été revu afin d'élargir la liste des applications ciblées. En septembre, un nouveau plug-in a été introduit. Le plug-in en question est nommé "RDP" et est basé sur le projet open-source "RDPWrap" qui permet une connexion en bureau à distance à des machines Windows qui, normalement, ne le supportent pas.

Ce dernier plug-in est ajouté malgré l'existence de celui de "VNC" pour plusieurs raisons : "RDP" est moins bloqué par des pares-feux et "RDPWrap" permet à plusieurs utilisateurs d'utiliser une même machine de manière concurrentielle. Un attaquant peut exploiter cette fonctionnalité pour prendre la main sur une machine cible en même temps que son utilisateur légitime.

Recommandations
+

Pour se protéger contre cette menace, il est conseillé d'être vigilants en traitant les courriels suspects ou non sollicités. Aussi, il est recommandé d'avoir une solution de détection comportementale des virus dans les mails et les pièces jointes.

Par ailleurs, si cela n'a pas d'impacts sur le fonctionnement du système d'information ou du métier, il est recommandé de bloquer les ports associés à l'usage du RDP et du VNC et l'accès à Tor pour limiter l'impact d'une compromission par ce cheval de Troie.