偽裝成收據形式的銀行木馬DanaBot,是個具有隱藏能力的模組化惡意軟體。模組化惡意軟體難以偵測。比方說,一個組件可以設計成在另一組件沒有運行時就停止或不運作,因此可以讓惡意軟體組件長時間駐留在中毒系統內直到被執行起來。攻擊者也可以將組件設計成不需依賴其他組件就能自行執行。此時惡意軟體可以進行資料竊取,但同時讓其他功能組件保持隱藏狀態。
資安研究人員最近發現一隻名為DanaBot的銀行木馬(趨勢科技偵測為TROJ_BANLOAD.THFOAAH)會經由垃圾郵件在歐洲國家散播。以下是關於此威脅的資訊,使用者和企業該如何抵禦此威脅的作法,以及託管式偵測及回應(managed detection and response)服務如何協助對抗此威脅。
DanaBot 銀行木馬偽裝收據經郵件散播
DanaBot是用Delphi程式語言開發的銀行木馬,能夠竊取帳密並劫持受感染的系統。它會偽裝成收據檔案來透過垃圾郵件夾帶散播出去,執行時會利用PowerShell(一種系統管理工具)及名為BrushaLoader的Visual Basic腳本(VBScript)來取回和執行組件。
DanaBot第一次出現時會利用內嵌惡意巨集的Word文件檔,開啟時會透過PowerShell下載DanaBot。資安研究人員指出最新的垃圾郵件活動則開始會利用BrushaLoader,並且DanaBot本身也進行了更新。
[相關新聞:不斷進化的Trickbot加入躲避偵測和鎖住螢幕的功能]