Selon les chercheurs Proofpoint, une version mise à jour du malware bancaire DanaBot a été retrouvée en libre circulation. Découvert pour la première fois mai 2018, il existe plus de trois versions significatives du malware. Écrit en Delphi, il cible les utilisateurs via des mails contenant des URL malveillantes.
Peu de temps après juin 2020, l’activité de DanaBot avait fortement diminué dans le radar de Proofpoint si bien qu’il semblait avoir disparu du paysage des menaces sans motif particulier.
C’est à partir du mois d’octobre 2020, que les chercheurs Proofpoint ont observé une mise à jour significative des échantillons de DanaBot. En affinant leurs recherches ils ont également pu détecter l’une des méthodes de distribution employée par DanaBot à travers plusieurs sites web de logiciels qui prétendent proposer des clés et des cracks de logiciels à télécharger gratuitement.
Si DanaBot n’a pas retrouvé l’envergure qu’il avait ces dernières années, le malware reste une menace à surveiller de près. Cette quatrième version vise notamment les institutions financières situées principalement aux États-Unis, au Canada, en Allemagne, au Royaume-Uni, en Australie, en Italie, en Pologne, au Mexique et en Ukraine.
Sherrod DeGrippo, Directrice des Menaces Émergentes chez Proofpoint commente :
« Le retour de DanaBot est intéressant et j’encourage vivement les organisations à le remettre dans leur radar. Nos prédictions nous poussent à penser que les affiliés de DanaBot vont continuer de se développer et que des campagnes d’emails malveillants vont se remettre à l’exploiter massivement dans les prochains mois. La référence aux crypto-monnaies pourrait également signaler que l’acteur de la menace se prépare à de futures campagnes visant à dérober des portefeuilles ou des identifiants pour des sites de crypto-monnaies populaires, comme il le fait pour les identifiants bancaires traditionnels.
Nous conseillons aux utilisateurs d’éviter de télécharger des logiciels piratés, car ces fichiers pourraient cacher un ensemble de malware, dont les chevaux de Troie bancaires DanaBot, qui dérobent discrètement les références bancaires en ligne »
Comme les versions précédentes de DanaBot, la version 4 est un malware modulaire, écrit dans le langage de programmation Delphi. Voir l’image ci-dessous :
Vous souhaitez en savoir plus sur cette quatrième version de DanaBot ? Veuillez consulter le blog Proofpoint.