Peneliti Proofpoint menemukan versi terbaru DanaBot di alam liar. DanaBot adalah malware perbankan/pencuri yang pertama kali ditemukan oleh Proofpoint pada Mei 2018. Setidaknya ada tiga versi malware yang signifikan:
- Versi 1: DanaBot – A new banking Trojan surfaces Down Under
- Versi 2: DanaBot Gains Popularity and Targets US Organizations in Large Campaigns
- Versi 3: ESET’s DanaBot updated with new C&C communication
Dari Mei 2018 hingga Juni 2020, DanaBot menjadi pendukung dalam lanskap ancaman crimeware. Peneliti Proofpoint mengamati beberapa pelaku ancaman dengan setidaknya 12 ID afiliasi di versi 2 dan 38 ID di versi 3.
Identifikasi afiliasi (ID) ini mewakili pelaku ancaman yang dilayani oleh operator DanaBot. Distribusi biasanya menargetkan lembaga keuangan yang sebagian besar berlokasi di Amerika Serikat, Kanada, Jerman, Inggris Raya, Australia, Italia, Polandia, Meksiko, dan Ukraina.
Seperti versi DanaBot sebelumnya, versi 4 adalah malware modular berukuran besar, multithread, yang ditulis dalam bahasa pemrograman Delphi. Komponen loader (EXE) mendekripsi, mendekompresi, dan mengeksekusi komponen sekunder (DLL) yang terlihat pada gambar berikut:
Peneliti Proofpoint mampu mempersempit setidaknya satu dari metode distribusi DanaBot ke berbagai situs web warez dan crack yang menawarkan software key dan crack untuk diunduh gratis, termasuk program anti-virus, VPN, editor grafis, editor dokumen, dan game. Namun, file yang didistribusikan oleh situs ini adalah kumpulan dari beberapa malware berbeda, termasuk DanaBot.
Selengkapnya: ProofPoint
