Zaloguj się do usług
bezpieczeństwa
16 maja 2019
DanaBot z injectami na polskie banki (IoC)

Choć maile z próbkami złośliwego oprogramowania, które trafiają do CERT Orange Polska nierzadko wyglądają bliźniaczo podobnie, staramy się przyglądać każdej z nich. I dobrze - bo w ostatniej serii oszukańczych faktur pojawiła się groźniejsza niż zwykle odmiana Danabota, "specjalisty" od wykradania poświadczeń do e-bankowości.
Najnowsza kampania Danabota, z analizie której wynika, iż obejmuje swoim zasięgiem dużą część Europy, kierowana jest również pod klientów polskich banków. Co ciekawe, na liście odnalezionych przez naszych ekspertów webinjectów, używanych w tej kampanii, znajduje się tylko część największych banków w Polsce, a obok nich - małe banki spółdzielcze.
Analizowany klient DanaBot działa według następującego schematu:

  • Zainfekowany komputer wysyła polecenie „Hello” do serwera Command&Control
  • C&C przesłya komponent w postaci pliku binarnego dla 32- lub 64-bitowego systemu operacyjnego (zależnie od tego, jaki został rozpoznany)
  • Plik pobiera listę wtyczek i plików konfiguracyjnych
  • Malware ściąga na zainfekowany komputer pliki wtyczki oraz pliki konfiguracyjne wraz z web injectami banków
  • W przypadku próby wejścia przez ofiarę na stronę objętego kampanią banku, malware odpowiednio podmienia witrynę

Zaobserwowane web injecty, udające witryny banków:
ING Bank Śląski, BNP Paribas, IdeaBank, PKO Bank Polski, mBank, Credit Agricole Bank Polska S.A.
Pobiedzisko-Gośliński Bank Spółdzielczy w Pobiedziskach, Bank Spółdzielczy w Białej Podlaskiej, Bank Spółdzielczy We Wschowie

IoC: hxxp://kipokahynr.xyz/


Ostatnie aktualności

Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl