Ερευνητές ασφαλείας προειδοποιούν ότι μια νέα τέταρτη παραλλαγή του DanaBot banking trojan έχει εμφανιστεί, ύστερα από μήνες που το malware παρέμενε στην «αφάνεια». Η τελευταία έκδοση, την οποία αναλύουν επί του παρόντος οι ερευνητές, δημιουργεί ανησυχίες λόγω του αριθμού των προηγούμενων αποτελεσματικών κακόβουλων εκστρατειών του DanaBot.
Από τον Μάιο του 2018 έως τον Ιούνιο του 2020, το DanaBot βρισκόταν στο προσκήνιο, σύμφωνα με την Proofpoint, η οποία ανακάλυψε για πρώτη φορά το malware το 2018 και δημοσίευσε μια έκθεση για την τελευταία παραλλαγή στις 26 Ιανουαρίου 2021.
Συγκεκριμένα, οι ερευνητές Dennis Schwarz, Axel F. και Brandon Murphy αναφέρουν στην έκθεση ότι, από τα τέλη Οκτωβρίου 2020, παρατήρησαν μια σημαντική «ανανέωση» στα δείγματα του DanaBot που εμφανίζονται στο VirusTotal. Επισημαίνουν ακόμη ότι, αν και δεν έχει επιστρέψει μέχρι στιγμής στην προηγούμενη κλίμακα, το DanaBot είναι ένα malware έναντι του οποίου πρέπει να αναπτυχθούν ισχυρές άμυνες.
Το DanaBot banking trojan στόχευσε χρήστες κυρίως στην Αυστραλία, μέσω email που περιείχαν κακόβουλα URLs. Στη συνέχεια, οι χειριστές του ανέπτυξαν μια δεύτερη παραλλαγή, με την οποία στόχευσαν εταιρείες στις ΗΠΑ, στα πλαίσια μιας σειράς κακόβουλων εκστρατειών μεγάλης κλίμακας. Επιπλέον, εμφανίστηκε και μια τρίτη παραλλαγή, τον Φεβρουάριο του 2019, η οποία ήταν ακόμα πιο «δυνατή», έχοντας, μεταξύ άλλων, τη λειτουργία απομακρυσμένων εντολών και ελέγχου, σύμφωνα με τους ερευνητές της ESET που την ανακάλυψαν.
Ενώ η νέα έκδοση, που ανακάλυψε η Proofpoint, είναι μοναδική, δεν είναι ακόμα σαφές ποιες νέες δυνατότητες έχει το malware (εάν έχει). Ωστόσο, συγκριτικά με προηγούμενες εκστρατείες, η έκθεση της Proofpoint υποδηλώνει ότι αυτή η πιο πρόσφατη παραλλαγή έρχεται συσκευασμένη κυρίως με το ίδιο θανατηφόρο «οπλοστάσιο» που είχαν και οι προηγούμενες παραλλαγές. Ανάμεσα στα κύρια χαρακτηριστικά περιλαμβάνεται ένα στοιχείο ToR για την ανωνυμοποίηση των επικοινωνιών μεταξύ των «κακών» και ενός μολυσμένου hardware.
Επιπλέον, στη νέα παραλλαγή, οι ερευνητές εντόπισαν αρκετά νέα αναγνωριστικά συνεργατών, που υποδηλώνουν ότι το στοιχείο του malware στο DanaBot ήταν πολύ ενεργό και αναπτυσσόμενο. Οι ερευνητές υπογραμμίζουν στην έκθεσή τους και νέες τακτικές και τεχνικές «μόλυνσης».
Οι ερευνητές μπόρεσαν επίσης να περιορίσουν τουλάχιστον μία από τις μεθόδους διανομής του DanaBot σε διάφορα software warez και cracks websites, που υποτίθεται ότι προσφέρουν software keys και cracks για δωρεάν λήψη, συμπεριλαμβανομένων antivirus προγραμμάτων, VPNs, επεξεργαστών γραφικών, επεξεργαστών εγγράφων και παιχνιδιών.
Αξιοσημείωτο είναι το γεγονός ότι κάποιοι από εκείνους που χρησιμοποιούσαν το DanaBot, συνέχισαν τις εκστρατείες τους, χρησιμοποιώντας κι άλλα banking malware, όπως το Ursnif και το Zloader. Ωστόσο, δεν είναι ακόμα σαφές εάν ήταν η παγκόσμια πανδημία του COVID-19, ο ανταγωνισμός από άλλα banking malware, ο χρόνος αναδιαμόρφωσης ή κάτι άλλο που προκάλεσε την «προσωρινή πτώση» του DanaBot, αλλά φαίνεται ότι το trojan επέστρεψε και προσπαθεί να ανακτήσει το χαμένο έδαφος στο τοπίο των απειλών.
