En mai, les chercheurs en sécurité de Proofpoint ont découvert une campagne de spam qui distribuait un nouveau cheval de Troie bancaire nommé DanaBot. À l’époque, on pensait qu’un seul pirate l’utilisait pour cibler des organisations en Australie afin d’obtenir des références bancaires en ligne. Mais cette campagne s’est poursuivie.
D’autres campagnes ont été identifiées en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Puis, à la fin du mois de septembre, une autre attaque de DanaBot a été menée auprès des banques américaines.
DanaBot est un malware modulaire écrit en Delphi et capable de télécharger des composants supplémentaires pour ajouter diverses fonctions. Il peut prendre des captures d’écran, voler des données de formulaire et enregistrer les frappes au clavier pour permettre aux pirates d’obtenir des identifiants bancaires. Ces informations sont renvoyées au serveur C2 de l’attaquant et sont ensuite utilisées pour voler de l’argent sur les comptes bancaires des entreprises.
Une analyse des programmes malveillants et des campagnes géographiques a montré que différents identifiants ont été utilisés dans les en-têtes de communication C2. Cela suggère fortement que les campagnes menées dans chaque région sont l’œuvre de différents pirates et le cheval de Troie DanaBot est distribué en tant que malware-as-a-service. Chaque pirate est responsable des campagnes qu’il mène dans un pays ou dans un groupe de pays spécifiques. L’Australie est le seul pays où deux cybercriminels ont mené les mêmes campagnes.
Au total, il semble qu’il y a actuellement 9 pirates qui mènent des campagnes de distribution du cheval de Troie DanaBot. Pour chaque pays, ils utilisent différentes méthodes pour distribuer la charge utile malveillante, notamment le nouveau kit d’exploitation Fallout, l’injection de code dans les applications web et le spamming. Ce dernier a été utilisé pour distribuer le malware aux États-Unis.
L’attaque menée aux États-Unis a utilisé un leurre d’avis se présentant comme un message fax et envoyé via des e-mails. Les messages semblent provenir du service eFax. Ils ont un aspect professionnel et sont complets, avec une mise en page et des logos appropriés. Ils contiennent également un bouton sur lequel il faut cliquer pour télécharger le message fax de 3 pages.
En cliquant sur ce bouton, vous téléchargez un document Word avec une macro malveillante qui, une fois exécutée, lance un script PowerShell, entraînant le téléchargement du malware Hancitor. À son tour, Hancitor téléchargera le voleur de mot de passe Poney et DanaBot.
L’analyse du malware par Proofpoint a révélé des similitudes avec les familles de ransomwares Reveton et CryptXXX. Ceci suggère que DanaBot a été développé par le même groupe responsable de ces deux ransomwares.
La campagne américaine DanaBot cible les clients de diverses banques américaines, dont RBC Royal Bank, Royal Bank, TD Bank, Wells Fargo, Bank of America et JP Morgan Chase. Il est probable qu’elle s’étendra à d’autres pays, au fur et à mesure que de plus en plus de cybercriminels utiliseront le malware DanaBot.
Pour prévenir une telle attaque, vous devez avoir un système de défense en profondeur contre chacun des vecteurs de Danabot. Un filtre antispam avancé est nécessaire pour bloquer le spam. Les utilisateurs d’Office 365 devraient également augmenter la protection de leur système informatique avec un filtre antispam tiers tel que SpamTitan.
Pour prévenir les attaques sur le Web, une solution de filtrage Web devrait être utilisée. WebTitan peut empêcher les utilisateurs finaux de visiter des sites Web connus pour contenir des kits d’exploitation et des adresses IP qui ont déjà été utilisées à des fins malveillantes.
Enfin, les utilisateurs finaux devraient être formés à ne jamais ouvrir de pièces jointes à des e-mails. Ils ne doivent pas cliquer sur des hyperliens dans les messages électroniques provenant d’expéditeurs inconnus ou activer des macros sur des documents à moins d’être certains que les fichiers sont authentiques. Les entreprises américaines ont intérêt à envisager d’avertir leurs employés des faux e-mails eFax afin de les sensibiliser à la menace de DanaBot.