Eksperci z ESET zauważyli gwałtowny wzrost aktywności trojana bankowego DanaBot, który na początku czerwca tego roku był rozsyłany polskim internautom w wiadomościach. Ich nadawcą miała być rzekomo Ergo Hestia. W rzeczywistości osobą wysyłającą e-maile był cyberoszust. Jak wskazują eksperci, trojan atakuje teraz nie tylko Polskę, ale również Włochy, Niemcy, Austrię oraz Ukrainę.
DanaBot to trojan bankowy, który został po raz pierwszy przeanalizowany przez Proofpoint w maju 2018 r. W tym okresie zagrożenie rozsyłano australijskim internautom w wiadomościach e-mail. Jak wskazują eksperci z ESET, struktura złośliwego oprogramowania jest złożona z wielu elementów, tzw. wtyczek. Każda z nich odpowiada za jedną z funkcji trojana m.in. za możliwość łączenia się twórcy zagrożenia z komputerem ofiary i jego zdalne sterowanie, wstrzykiwanie złośliwego skryptu do przeglądarki, który uruchamia się w trakcie logowania do bankowości internetowej, zbieranie loginów i haseł z różnych aplikacji, czy instalację serwera proxy sieci TOR. Jak alarmują eksperci z ESET, DanaBot jest nadal aktywny i nawet dziś jest rozsyłany w kampaniach mailowych skierowanych do użytkowników w Polsce.
“Trojan jest obecnie przesyłany jako załącznik z rozszerzeniem „.rar” w wiadomościach e-mail, który udaje faktury od różnych firm.” – zauważa Kamil Sadkowski, starszy analityk zagrożeń w ESET.
Rys. 1 – Przykład kampanii spamowej dystrybuowanej we wrześniu br.
Niechciane wiadomości mailowe z zainfekowanym zagrożeniem DanaBot są obecne nie tylko w Polsce. Niedawno badacze ESET odkryli kilka mniejszych ataków skierowanych do internautów mieszkających we Włoszech, Niemczech i Austrii. Ekspert z ESET zwraca uwagę, że na początku września br. odkryto nową metodę dystrybucji DanaBota. Jej celem stali się użytkownicy z Ukrainy.
Rys. 2 – Aktywność DanaBot w okresie ostatnich dwóch miesięcy
Źródło ESET
