Trojan DanaBot – Aggiornato con nuovi meccanismi di comunicazione verso il C&C

12/02/2019

danabot malspam malware

I ricercatori ESET hanno individuato negli ultimi giorni nuove varianti del Trojan Danabot già analizzato dal CERT-PA nei mesi scorsi. In particolare l’ultima versione il trojan presenta una nuova architettura, modifiche all’ID della campagna e un protocollo di comunicazione completamente nuovo, che aggiunge diversi livelli di crittografia alla comunicazione verso il C&C .

Evoluzione di DanaBot

Dopo essere stato scoperto nel maggio 2018 come parte delle campagne di spam con targeting per l’Australia, DanaBot è apparso in campagne malspam in Polonia, Italia, Germania, Austria e Ucraina , così come negli Stati Uniti. Le campagne europee hanno visto il trojan espandere le sue capacità con nuovi plugin e funzionalità. Lo scorso il 25 gennaio 2019,  i ricercatori ESET hanno rilevato invece nuovi binari di Danabot i quali utilizzano un protocollo di comunicazione diverso per comunicare con il proprio server C&C. Attualmente la nuova versione viene distribuita:

  • come “aggiornamenti” consegnati alle vittime di DanaBot già infettate;
  • attraverso campagne di malspam (in Polonia).

Il nuovo protocollo di comunicazione verso il C&C

Prima del 25 gennaio, il protocollo di comunicazione utilizzato da Danabot, inviava al proprio C&C pacchetti non crittografati come mostrato nella figura seguente:

 

La nuova versione individuata, utilizza gli algoritmi di crittografia AES e RSA nella sua comunicazione C&C. Il nuovo protocollo di comunicazione è molto complesso, con diversi livelli di crittografia utilizzati, come mostrato nella figura seguente:

 

 

Le modifiche apportate  rendono più difficile scrivere nuove regole per i sistemi di rilevamento e prevenzione delle intrusioni, in quanto, senza accesso alle corrispondenti chiavi RSA, è impossibile decodificare i pacchetti inviati o ricevuti.

Nuova Architettura Danabot

Oltre al protocollo di comunicazione modificato, DanaBot ha subito cambiamenti anche nell’architettura. Le versioni precedenti di DanaBot includevano un componente che scaricava ed eseguiva il modulo principale, il quale a sua volta scaricava ed eseguiva plugin e configurazioni. L’ultima versione sposta entrambe queste logiche in un nuovo componente del “Loader“, che viene utilizzato per scaricare tutti i plugin insieme al modulo principale. La persistenza viene ottenuta registrando il componente “Loader” come un servizio.

 

Modifiche negli ID delle campagne

Le analisi delle precedenti versioni hanno evidenziato che DanaBot viene distribuito sotto vari ID “di affiliazione” o “campagna”. In particolare, nelle versioni precedenti sono stati utilizzati quasi 20 ID campagna diversi. Nell’ultima versione tali ID risultano sono leggermente cambiati.  A partire dal 5 febbraio 2019, sono stati rilevati i seguenti ID:

  • ID = 2 sembra essere una versione di prova, che serve un numero limitato di file di configurazione e nessun webinject;
  • ID = 3 si sta diffondendo attivamente, indirizzando gli utenti sia in Polonia che in Italia, servendo tutti i file di configurazione e gli webinject per obiettivi sia polacchi che italiani;
  • ID = 5 serve i file di configurazione per i bersagli australiani;
  • ID = 7 viene diffuso solo in Polonia, al servizio di webinject per obiettivi polacchi;
  • ID = 9 sembra essere un’altra versione di prova, con spread limitato e nessun targeting specifico, che serve un numero limitato di file di configurazione e nessun webinject;

Conclusioni

Danabot è in continua evoluzione e gli ultimi aggiornamenti indicano che gli autori si stanno concentrando sulle più recenti tecniche per eludere il rilevamento del malware a livello di rete. Gli utenti italiani sono tra agli obiettivi primari pertanto si invita a prestare la massima attenzione ai messaggi non attesi e/o sospetti e in particolare a quelli dotati di allegati con estensioni file potenzialmente pericolose.

Indicatori di Compromissione

  • IoC (.txt) – File globale :  IPv4 e hash files (SHA1)
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr