NUEVA ACTIVIDAD DE TROYANO BANCARIO DANABOT
- Publicado: 28/01/2021
- Importancia: Media
- Recursos afectados
En la primera versión su objetivo fue dirigido a usuarios de Australia, cuyo vector de distribución se llevó a cabo mediante la utilización de URLs que conducían a sus víctimas al sitio web de phishing, que llevaba a la descarga del malware; una segunda versión se dirigió contra diferentes organizaciones estadounidenses y en la tercera versión, de acuerdo con la investigación mejoró significativamente sus funcionalidades en sus servidores de comando y control (C2).
Para la cuarta versión, se han identificado nuevas tácticas y técnicas de infección a través de sitios web donde se ofrecen supuestos software gratuitos. DanaBot, se encuentra desarrollado en Delphi; inicia su cadena de infección con un archivo ejecutable, el cual descifra y ejecuta un componente secundario .dll que, dependiendo de su descifrado, ejecuta uno de los cuatro modos de ejecución del componente:
- El componente principal.
- El componente TOR.
- EL componente para las inyecciones de procesos y de archivos descargados.
- El componente del módulo.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas