DanaBot Trojan’ın Yeni Bir Sürümü Tespit Edildi

DanaBot Trojan zararlısının yeni bir sürüm ile tekrar ortaya çıktığı tespit edilmiştir. İlk olarak 2018 yılında tespit edilen DanaBot, zararlı bağlantılar içeren e-postalar aracılığıyla kullanıcıları hedefleyen bir bankacılık Truva atıdır.

DanaBot hedef sistemlerde; ağ isteklerini ele geçirme, uygulama ve servis kimlik bilgilerini ele geçirme, hassas verileri sızdırma, fidye yazılımı (Ransomware) dağıtma, ekran görüntüsü casusluğu ve kripto para madencisi dağıtma eylemlerini gerçekleştirmektedir. DanaBot’un tespit edilen son sürümünde ise web enjeksiyonu, süreç izleme, zararlı yazılım dağıtmak için yeni bileşenler ve TOR modülünü C2 (Komuta&Kontrol) sunucusundan indirmek yerine ana çekirdek bileşeninde şifrelediği tespit edilmiştir. C2 sunucusunu kontrol eden tehdit aktörlerinin DeepWeb forumlarında anonim kişilere para karşılığı erişim sağladığı da bilinmektedir.

DanaBot son yıllarda finans sektöründe büyük bir tehdit oluşturmaktadır. Tehdit aktörlerinin DanaBot zararlı yazılımını sürekli olarak geliştirmesi olası tehditleri daha da büyütmektedir. Hedef odaklı siber saldırılardan etkilenmemek adına; güvenilir olmayan kaynaklardan gelen e-posta ve eklerinin açılmaması, şüpheli bağlantılara tıklanmaması ve IoC bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.

DanaBot trojanına ait tespit edilen bazı IoC bulguları;

FileHash-SHA256:
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Domain:

hxxps://coinsupport[.]ml/nccvbv
hxxps://coinsupport[.]ml/figrab
hxxps://coinsupport[.]ml/bcadmin/
hxxp://bbc[.]lumpens[.]org/tXBDQjBLvs.php
hxxp://members[.]giftera[.]org/whuBcaJpqg.php
fxp://kuku1770:[email protected][.]netregistry[.]net/secure/325-5633346%20-%20C-12%20%2811%29.zip
fxp://lbdx020a:[email protected][.]com[.]au/images/090909-001-8765%28239%29.zip

IP:

192.52.166[.]169
173.254.204[.]95
192.52.167[.]45
45.146.164[.]24
192.52.166[.]92
192.52.167[.]44
142.11.206[.]50
142.11.244[.]124
37.220.31[.]27
152.89.247[.]31
23.254.201[.]233
207.148.86[.]218
144.202.61[.]204
104.238.174[.]105
5.188.231[.]229
184.95.51[.]175:443
184.95.51[.]183:443
37.220.31[.]94:443
192.210.198[.]12:443

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!