DanaBot z injectami na polskie banki (IoC)

Choć maile z próbkami złośliwego oprogramowania, które trafiają do CERT Orange Polska nierzadko wyglądają bliźniaczo podobnie, staramy się przyglądać każdej z nich. I dobrze – bo w ostatniej serii oszukańczych faktur pojawiła się groźniejsza niż zwykle odmiana Danabota, „specjalisty” od wykradania poświadczeń do e-bankowości.
Najnowsza kampania Danabota, z analizie której wynika, iż obejmuje swoim zasięgiem dużą część Europy, kierowana jest również pod klientów polskich banków. Co ciekawe, na liście odnalezionych przez naszych ekspertów webinjectów, używanych w tej kampanii, znajduje się tylko część największych banków w Polsce, a obok nich – małe banki spółdzielcze.
Analizowany klient DanaBot działa według następującego schematu:

• Zainfekowany komputer wysyła polecenie „Hello” do serwera Command&Control
• C&C przesłya komponent w postaci pliku binarnego dla 32- lub 64-bitowego systemu operacyjnego (zależnie od tego, jaki został rozpoznany)
• Plik pobiera listę wtyczek i plików konfiguracyjnych
• Malware ściąga na zainfekowany komputer pliki wtyczki oraz pliki konfiguracyjne wraz z web injectami banków
• W przypadku próby wejścia przez ofiarę na stronę objętego kampanią banku, malware odpowiednio podmienia witrynę

Zaobserwowane web injecty, udające witryny banków:
ING Bank Śląski, BNP Paribas, IdeaBank, PKO Bank Polski, mBank, Credit Agricole Bank Polska S.A.
Pobiedzisko-Gośliński Bank Spółdzielczy w Pobiedziskach, Bank Spółdzielczy w Białej Podlaskiej, Bank Spółdzielczy We Wschowie

IoC: hxxp://kipokahynr.xyz/