I ricercatori di Proofpoint hanno individuato una versione aggiornata di DanaBot, malware bancario/stealer scoperto per la prima volta da Proofpoint nel maggio del 2018.

Sono state almeno tre le versioni significative di questo malware identificate in passato, e questo è il quarto aggiornamento.

Da maggio 2018 a giugno 2020, DanaBot è stato un appuntamento fisso nel panorama delle minacce cyber. I ricercatori di Proofpoint hanno osservato più autori di minacce con almeno 12 identificazioni (ID) affiliate nella versione 2 e 38 ID nella versione 3. Queste ID rappresentano i cyber criminali serviti dagli operatori di DanaBot.

Nel mirino di DanaBot

La distribuzione ha tipicamente preso di mira le istituzioni finanziarie situate prevalentemente negli Stati Uniti, Canada, Germania, Regno Unito, Australia, Italia, Polonia, Messico e Ucraina. Dopo giugno 2020, c’è stato un forte calo dell’attività di DanaBot nei dati di Proofpoint e nei repository pubblici di informazioni sulle minacce (ad esempio MalwareBazaar e #DanaBot).
È scomparso dal panorama delle minacce senza una chiara motivazione.

A partire da fine ottobre 2020, Proofpoint ha rilevato un aggiornamento significativo degli esemplari di DanaBot apparsi in VirusTotal. Al momento della pubblicazione, i ricercatori di Proofpoint hanno individuato due ID affiliate che utilizzano quest’ultima versione con almeno un metodo di distribuzione. Anche se non è tornato alla sua scala precedente, DanaBot è un malware che dovrebbe essere monitorato.

Per quasi due anni, DanaBot è stato uno dei principali malware bancari utilizzati nel panorama del crimeware. Diversi criminali lo distribuivano e usavano per colpire gli istituti finanziari. A metà del 2020, l’attività di DanaBot è diminuita e alcuni affiliati hanno continuato le loro campagne utilizzando altri malware bancari (ad esempio Ursnif e Zloader). Non è chiaro se COVID-19, la concorrenza di altri esemplari, il tempo di sviluppo o altro ne abbia causato il calo, ma sembra che DanaBot sia tornato e stia cercando di riconquistare il suo posto nel panorama delle minacce cyber.

Proofpoint ritiene che il numero di affiliati di DanaBot crescerà e questo malware sarà distribuito ancora una volta tramite campagne di phishing nei prossimi mesi.

Come sottolineato in una nota ufficiale da Sherrod DeGrippo, Senior Director of Threat Research and Detection di Proofpoint: «Il ritorno di Danabot è uno sviluppo interessante e incoraggio fortemente chi si occupa di sicurezza a monitorarlo. Prevediamo che gli affiliati di DanaBot aumenteranno e di conseguenza anche le campagne di phishing che lo distribuiranno nuovamente nei prossimi mesi. Il riferimento alle criptovalute potrebbe segnalare che gli autori della minaccia si stiano preparando per future campagne volte a rubare portafogli o login per i siti di criptovalute più popolari, con un approccio del tutto simile a quando prendono di mira le credenziali bancarie tradizionali. È importante che gli utenti evitino di scaricare software free di dubbia provenienza, poiché quei file potrebbero nascondere una serie di malware, tra cui i Trojan bancari DanaBot, in grado di sottrarre silenziosamente le credenziali bancarie».