Banking-Trojaner DanaBot wird laufend gefährlicher

Nach neuesten Erkenntnissen der Malware-Analysten des IT-Security-Anbieters Eset mutiert DanaBot zur neuen Allzweckwaffe der Cybercrime-Szene. Neben Emotet zählt der seit 2018 aktive Computerschädling zu den aggressivsten Banking-Trojanern. Er ist für eine Vielzahl erfolgreicher Angriffe gegen Privatanwender und Unternehmen verantwortlich.

Wie die Experten von Eset berichten, investierten kriminelle Programmierer bei kaum einem anderen Schadprogramm wie bei DanaBot so viele Ressourcen, um im hohen Tempo neue Versionen zu verteilen. Die Virenjäger von Eset haben denn Ende Januar ein weiteres, noch gefährlicheres Update entdeckt. Dieses beinhaltet unter anderem eine neue Architektur. Die Kommunikation zwischen dem befallenen Opfer-PC und den dahinterliegenden Command & Control Servern erfolge nun mehrfach verschlüsselt (AES und RSA). Eine Nachverfolgung der Datenströme und die Enttarnung der Täter werde dadurch immens erschwert, schreibt Eset.

Die Opfer der seit vergangenem Jahr laufenden DanaBot-Kampagne befinden sich weltweit. Beginnend in Australien hat der Trojaner hauptsächlich Computernutzer in Polen, Italien, Deutschland, Österreich, Ukraine und den USA ins Visier genommen. Gerade die europäischen Versionen verfügen über zusätzliche Features mit neuen Plugins und Spam-Versand-Möglichkeiten.

Das neue Kommunikationsprotokoll wird derzeit in zwei Szenarien verteilt: Als Update rollen die Täter die modifizierte Version automatisiert an bereits infizierte DanaBot-Opfer. Eine zweite und leider immer noch äusserst erfolgreiche Verbreitungsvariante ist der Versand von Spam und Phishing-Mails mit schädlichen Dateianhängen. Diese tarnen sich unter anderem als vermeintliche Rechnungen, Shopping-Angebote, Bankinformationen oder Bestellbestätigungen.

Eine weitere Änderung des Trojaners betrifft die Vorgehensweise. In der älteren Variante hat eine Downloader-Komponente erst das Hauptmodul aus dem Netz nachgeladen, welches dann wiederum die Plugins und Konfigurationen herunterlud. Die neue Version registriert einen sogenannten Loader als Betriebssystemdienst, welcher dann das Hauptmodul zusammen mit den Plugins und Konfigurationen nachlädt.

«Wir haben im letzten Jahr beobachtet, dass die Täter DanaBot innerhalb kürzester Zeit weltweit verbreiten konnten», kommentiert Thomas Uhlemann, Security Specialist bei Eset. «Neben der Qualität und der permanenten Malware-Produktpflege zeigt das vor allem eins: Die Gruppierung, die hinter DanaBot steckt, muss über professionelle und leistungsfähige Cybercrime-Strukturen verfügen», so Uhlemann.

Die bisher von der weltweiten IT-Security-Community veröffentlichten Erkenntnisse über DanaBot blieben nach Einschätzung des Experten nicht ohne Reaktion. «Offenbar haben die Autoren hinter DanaBot diese Veröffentlichungen dazu benutzt, die Struktur des Schädlings der Kampagne entsprechend hochdynamisch anzupassen, um Erkennungen, etwa auf Netzwerkebene, zu entgehen.»