-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
DanaBot Troyano Bancario que agrego un componente de Ransomware.
- Publicado: 21/06/2019
- Importancia: Alta
- Recursos afectados
A principios de mayo de 2018 la compañía de seguridad informática Proofpoint descubrió el Troyano el cual estaba siendo distribuido a través de un documento Word que contenía macros para descargar DanaBot usando comandos mediante una PowerShell.
Dando un poco de contexto DanaBot es un troyano bancario modular diseñado para robar credenciales bancarias e información confidencial.
Para el análisis de este Malware el equipo de Cyber Threat Intelligence descubrió que el troyano agrego un nuevo módulo, él cual es un componente de Ransonware.
Es decir, con el nuevo módulo agregado el troyano permite robar los navegadores y credenciales de los clientes FTP, recoger credenciales de carteras criptográficas, ejecutar un proxi en las maquinas infectadas, realizar inyecciones a los sitios web, solicitar actualizaciones a través de TOR, evitar el control de cuentas de usuario (UAC) y solicitar actualizaciones de C&C.
Una vez iniciada la ejecución del malware el deposita un archivo por lotes de b.bat en la carpeta TEMP, el cual se ejecuta y permite activar la configuración para mostrar archivos ocultos, desactiva el Windows defender, detiene algunos servicios, desactiva el modo hibernación, elimina algunos registros, anula la directiva de ejecución de PowerShell, desactiva la restauración para los discos lógicos (C,D,E,F,H), elimina registro de eventos y papelera reciclaje y elimina instantáneas para los volúmenes.
- Etiquetas