ESET Research 21 Sep.
Les chercheurs d’ESET ont découvert une nouvelle campagne de DanaBot
visant plusieurs pays européens.
Nous avons récemment observé une résurgence de l’activité de DanaBot, un
cheval de Troie bancaire découvert plus tôt cette année. Ce logiciel
malveillant, observé d’abord dans des campagnes visant l’Australie, puis la
Pologne, s’est visiblement étendu, alors que des campagnes sont apparues en
Italie, en Allemagne, en Autriche, et en septembre 2018, en Ukraine.
Qu’est-ce que
DanaBot?
DanaBot est un cheval de Troie bancaire modulaire, d’abord analysé en mai 2018 par Proofpoint, après avoir été
découvert dans une campagne de courriers électroniques malveillants visant des
utilisateurs australiens. Le cheval de Troie est rédigé en Delphi, dispose
d’une architecture multi-niveau et multi-composante, dont la plupart des
fonctionnalités sont implémentées par des extensions (ou plug-ins). Au moment
de cette découverte, on considérait que le logiciel malveillant semblait être
dans une phase de développement actif.
Nouvelles
campagnes
Deux semaines seulement après cette largement rapporté première campagne
en Australie, Danabot était détectée dans une campagne visant la Pologne. Selon notre
recherche, la campagne visant la Pologne est toujours en cours et constitue la
plus large et efficace campagne de Danabot à ce jour. Pour compromettre leurs
victimes, les attaquants derrière la campagne ciblant la Pologne ont utilisé
des emails comprenant prétendument des factures provenant de diverses
compagnies, comme on peut l’observer dans la Figure 1. La campagne utilise une
combinaison de scripts PowerShell et VBS mieux connue
sous le nom Brushaloader.
Lire l’article complet sur