Danabot: El Malware que usa el Spear Phishing para distribuirse
Los investigadores advirtieron a las empresas de una nueva amenaza digital llamada Danabot un malware en el corazón de una nueva campaña de phishing dirigida específicamente a las PYMES.
Las compañías más grandes y más conocidas hasta las más pequeñas y medianas empresas, están bajo constante amenaza de ataque cibernético.
Los valiosos datos corporativos de los clientes con los que se relacionan, así como la propiedad intelectual y más pueden ser señuelos atractivos para los ciberdelincuentes.
Según los investigadores de seguridad de TrustWave, DanaBot es una nueva amenaza de phishing que parece estar dirigida específicamente a pequeñas y medianas empresas.
"La mayoría de los estafadores y las campañas de phishing siguen un patrón predecible"
Se envían correos electrónicos fraudulentos, ya sea en masa con la esperanza de atrapar a los empleados de la empresa sin saberlo, o se envían correos electrónicos personalizados específicamente a determinados miembros de un equipo, como recursos humanos, ventas o contabilidad.
Este último a menudo contendrá mucha más información, obtenida mediante ingeniería social, para que parezcan legítimos y fiables.
En cualquier tipo de campaña, estos correos electrónicos a menudo contienen ejecutables maliciosos, macros maliciosas incrustadas en documentos de Microsoft Word o enlaces que se conectan a sitios web fraudulentos.
Sin embargo, la nueva amenaza de phishing está probando algo diferente.
Controlado por los atacantes
Según los investigadores de seguridad de Trustwave, se envían correos electrónicos de spear phishing a empresas australianas que se hacen pasar por facturas falsas enviadas desde MYOB, una aplicación móvil de flujo de efectivo.
Los correos electrónicos están llenos de enlaces que conducen a los servidores de Protocolo de transferencia de archivos (FTP) legítimamente utilizados para descargar y transferir archivos entre sistemas, pero en este caso fueron comprometidos y controlados por los atacantes.
La mayoría de los dominios implicados eran australianos, pero no todos.
Si un destinatario del correo electrónico abre un correo spear phishing y visita el servidor FTP, los enlaces apuntarían a un archivo comprimido descargable.
El archivo de almacenamiento contenía JavaScript que, una vez ejecutado, lanzaría un comando de Powershell y descargaría la carga de malware de DanaBot.
¿Cómo funciona DanaBot?
DanaBot es un malware modular escrito en Delphi que contiene un dropper, un descargador y un ".DLL". El dropper utiliza el programa de descarga y descarta un archivo ".DLL" antes de eliminarse.
Ese .DLL descarga un archivo cifrado que se divide en dos en el momento de la ejecución y contiene un conjunto de configuraciones, así como una selección de módulos de malware.
Los módulos incluyen un controlador remoto VNC, un sofware que roba la información privada y sensible, un sniffer de red y un módulo Tor. Este último se utiliza para comunicarse de forma encubierta con el servidor de comando y control (C&C) del malware.
Además, DanaBot puede lanzar inyecciones web y monitorear actividades relacionadas con criptomonedas.
Los investigadores de Trustwave dicen que una vez que una máquina está infectada, se pueden tomar capturas de pantalla y robar las credenciales, que pueden dar a los operadores del malware la información que necesitan para comprometer cuentas bancarias.
Los investigadores de Trustwave comentaron que: "La infraestructura que admite el malware está diseñada para ser flexible, mientras que el malware está diseñado para ser modular y la funcionalidad se distribuye a través de múltiples componentes fuertemente encriptados".
El uso de FTP es un giro interesante en las campañas de phishing y puede haber sido elegido en respuesta a que muchos de nosotros nos volvemos más inteligentes en lo que respecta a los métodos de phishing comunes.
No se sabe cuántas empresas pueden haber sido víctimas de tales tácticas, pero se mandan 14.500 millones de correos no deseados diariamente, las campañas de phishing son un problema que es poco probable que desaparezca pronto.