CSIRT Asobancaria

NUEVA ACTIVIDAD DE TROYANO BANCARIO DANABOT

  • Publicado: 28/01/2021
  • Importancia: Media

Recursos afectados

En la primera versión su objetivo fue dirigido a usuarios de Australia, cuyo vector de distribución se llevó a cabo mediante la utilización de URLs que conducían a sus víctimas al sitio web de phishing, que llevaba a la descarga del malware; una segunda versión se dirigió contra diferentes organizaciones estadounidenses y en la tercera versión, de acuerdo con la investigación mejoró significativamente sus funcionalidades en sus servidores de comando y control (C2).

 

Para la cuarta versión, se han identificado nuevas tácticas y técnicas de infección a través de sitios web donde se ofrecen supuestos software gratuitos. DanaBot, se encuentra desarrollado en Delphi; inicia su cadena de infección con un archivo ejecutable, el cual descifra y ejecuta un componente secundario .dll que, dependiendo de su descifrado, ejecuta uno de los cuatro modos de ejecución del componente:

 

  • El componente principal.
  • El componente TOR.
  • EL componente para las inyecciones de procesos y de archivos descargados.
  • El componente del módulo.

 

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas