Pirmą kartą modulinis bankininkystės trojanas „DanaBot“ buvo nustatytas šių metų gegužę, atakuojantis Australijos vartotojus per kenksmingų el. laiškų kampanijas. Netrukus „DanaBot“ buvo užfiksuotas Lenkijoje, kur, pasak saugumo tyrėjų, šio kenkėjo kampanijos tebėra aktyvios ir didžiausios lyginant su kitomis šalimis. Lenkijos vartotojai taip pat atakuojami kenksmingais el. laiškais, kuriuose prisegtos neva tikros sąskaitos, siunčiamos skirtingų kompanijų.
Rugsėjo pradžioje „DanaBot“ buvo nukreiptas į Italijos, Vokietijos ir Austrijos bankus, šįkart kenkėjo kampanijos buvo smulkesnės, tačiau joms pasitelktos tos pačios kenksmingų el. laiškų kampanijos.
„Toks atakos pobūdis yra itin paplitęs – atakuojami domenai, šiuo atveju, atakuojamų bankų darbuotojai gauna el. laiškus, kuriuose raginama atidaryti prisegtus kenksmingus failus. Jei naudojamos el. pašto sistemos praleidžia tokius laiškus ir darbuotojai negeba atpažinti kenksmingos atakos, grėsmė kyla visai organizacijai: užkrėtus vieną kompiuterį, programišiai gali įsilaužti į visos įstaigos tinklą“, – teigia „ESET Lietuva“ IT inžinierius Ramūnas Liubertas.
Pasak ESET tyrėjų, kenkėjas yra parašytas Delphi programavimo kalba ir turi kelių lygių ir skirtingų komponentų architektūrą, didžioji dalis jo funkcijų yra įdiegtos naudojant įskiepius. Skirtingi įskiepiai leidžia „DanaBot“ platinantiems nusikaltėliams nuotoliniu būdu prisijungti ir valdyti užkrėstus kompiuterius, įdiegti kenksmingus „skriptus“ į naršyklę bei lankantis el. bankininkystės puslapiuose, rinkti slaptažodžius ir atlikti kitus veiksmus.
Išsami „DanaBot“ analizė atskleidė, kad trojanas yra nuolat tobulinamas pridedant naujas funkcijas. Visos ESET antivirusinės programos ir saugumo sprendimai atpažįsta kenkėją ir užkerta jam kelią.
Pasak R. Liuberto, tinkama antivirusinė programa tokių atakų atveju padeda apsisaugoti nuo žmogiškojo faktoriaus keliamų rizikų. „Naudojant patikimus saugumo sprendimus sumažinama rizika tapti kenksmingų atakų auka. Kita vertus, tobulėjant kibernetinėms atakoms ir atsirandant naujiems kenkėjams, kibernetinio saugumo mokymai darbuotojams įgauna vis didesnę reikšmę: būtina stiprinti gebėjimus atpažinti įtartinus, potencialią grėsmę keliančius veiksmus“, – komentuoja ESET atstovas.
Saugumo tyrėjai pateikia, kokių programų vykdomuosius failus ir domenus šiuo metu atakuoja trojanas:
Atakuojamos programos Europai skirtose kampanijose: *electrum*.exe* *electron*.exe* *expanse*.exe* *bitconnect*.exe* *coin-qt-*.exe* *ethereum*.exe* *-qt.exe* *zcash*.exe* *klient*.exe* *comarchcryptoserver*.exe* *cardserver*.exe* *java*.exe* *jp2launcher*.exe*
Atakuojamos programos Ukrainai skirtose kampanijose: *java*.exe* *jp2launcher*.exe* *srclbclient*.exe* *mtbclient*.exe* *start.corp2*.exe* *javaw.*exe* *node*.exe* *runner*.exe* *ifobsclient*.exe* *bank*.exe* *cb193w*.exe* *clibankonlineen*.exe* *clibankonlineru*.exe* *clibankonlineua*.exe* *eximclient*.exe* *srclbclient*.exe* *vegaclient*.exe* *mebiusbankxp*.exe* *pionner*.exe* *pcbank*.exe* *qiwicashier*.exe* *tiny*.exe* *upp_4*.exe* *stp*.exe* *viewpoint*.exe* *acdterminal*.exe* *chiefterminal*.exe* *cc*.exe* inal*.exe* *uniterm*.exe* *cryptoserver*.exe* *fbmain*.exe* *vncviewer*.exe* *radmin*.exe*
Atakuojami Italijos domenai: credem.it bancaeuro.it csebo.it inbank.it bancopostaimpresaonline.poste.it bancobpm.it bancopopolare.it ubibanca.com icbpi.it bnl.it banking4you.it bancagenerali.it ibbweb.tecmarket.it gruppocarige.it finecobank.com gruppocarige.it popso.it bpergroup.net credit-agricole.it cariparma.it chebanca.it creval.it bancaprossima.com intesasanpaoloprivatebanking.com intesasanpaolo.com hellobank.it
Atakuojami Vokietijos domenai: bv-activebanking.de commerzbank.de sparda.de comdirect.de deutsche-bank.de berliner-bank.de norisbank.de targobank.de
Atakuojami Austrijos domenai: sparkasse.at raiffeisen*.at bawagpsk.com
Atakuojami Ukrainos domenai: bank.eximb.com oschadbank.ua client-bank.privatbank.ua online.pumb.ua creditdnepr.dp.ua
Atakuojamos el. pašto sistemos: mail.vianova.it mail.tecnocasa.it MDaemon Webmail email.it outlook.live.com mail.one.com tim.it mail.google tiscali.it roundcube horde webmail*.eu webmail*.it
Atakuojamos kriptovaliutų piniginės: *\wallet.dat* *\default_wallet*