Uwaga! Nowy Danabot!

Uważajcie, pojawiła się nowa kampania groźnego trojana bankowego Danabot! Sam docelowy Danabot jest niezmieniony, jak w każdym dotychczasowych przypadków, tym niemniej nasze systemy bezpieczeństwa zatrzymały dziś maila z nowym dropperem. Wiadomość adresowana była do jednego z pracowników Orange Polska. Mimo, iż wstępna analiza wykazała, iż załączony plik jest bezpieczny (0 wykryć w silnikach antywirusowych), jakoś nie chciało nam się uwierzyć, że dwukrotnie spakowany plik z rozszerzeniem VBS może okazać się anonsowaną w treści fakturą. No i „niespodzianka” – okazało się, że to nowy dropper Danabota. Plik docelowy wykrywa wciąż mało silników AV – 14/80.

Kolejne maile mogą oczywiście mieć inne nazwy, adresy i pliki, ale w naszym przypadku były takie:

Tytuł maila: faktura ot Elka Spуlka z o.o.
Załączony plik: fffbb_faktura84839992.xz

Plik docelowy: hxxps://droversmouser[.]at/3/dsk.exe