Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima.
L'ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l'Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.
Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell'account, come risposta alle email presenti nella Posta in Arrivo.
Questa tattica viene utilizzata su qualsiasi servizio webmail basato su Open-XChange e aiuta l'attacco in due maniere: garantendo legittimità all'email grazie alla fiducia stabilita tra mittente e destinatario e aumentando la possibilità che il ricevente disabiliti le protezioni antispam e apra l'allegato dannoso. Un altro script in dotazione a DanaBot raccoglie gli indirizzi email presenti negli account sui servizi webmail bersaglio.
Attacco alla Posta Elettronica Certificata
Stando ai ricercatori, gli attaccanti si concentrano sugli indirizzi con la sottostringa "pec", che sta per "Posta Elettronica Certificata", un sistema di equiparazione legale della corrispondenza digitale con servizio postale convenzionale: è in uso non sono in Italia, ma anche in Svizzera e Hong Kong.
DanaBot ha un nuovo alleato: GootKit
Analizzando uno script VBS dannoso individuato nel server C&C di DanaBot, i ricercatori hanno scoperto che questo è diretto a un modulo downloader per un altro malware, chiamato GootKit. E' la prima volta, fanno sapere i ricercatori, che DanaBot distribuisce anche un secondo malware. Ciò ha stupito non poco i ricercatori: di DanaBot infatti si è sempre pensato fosse gestito da un singolo gruppo isolato. L'introduzione però di GootKit, descritto dai ricercatori stessi come uno strumento privato (ovvero non in vendita ne né dark né nel deep web) indica nuove collaborazioni e un cambio di comportamento notevole. GootKit è ora stato scovato in diffusione anche con un altro malware, Emotet, cosa che indica una diversificazione del business illegale. Le connessioni tra GootKit e DanaBot sono confermate anche dall'uso dello stesso registrar (Todaynic.com, Inc) per i propri nomi dominio e dello stesso server (dnspod.com).
Nessun commento:
Posta un commento