Manuel Statik Analiz — DanaBot Banking Trojan | Tehdit: KRITIK

Fichier Kimliği

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Taille1.400.832 byte
String Sayisi2.338

DanaBot'un Evrimi

DanaBot, 2018'de Avustralya'da ortaya çıkan Delphi tabanlı modüler banking trojan'dır. 2022'de Rusya'nın NATO iletişimini hedefleyen Cobalt Strike dropper olarak yeniden konumlandırıldı. Temmuz 2023'te FBI/DOJ operasyonuyla ilgili altyapı kapatıldı. Operatörler, müşterilerine farklı ID numaraları tahsis eden MaaS modeli kullandı.

Teknik Propriétéler

RSA-2048 + RC4 -- İki katmanlı C2 iletişim şifrelemesi
DLL Eklentileri -- Modüler mimari (VNC, sniffer, keylogger, stealer)
CreateMutexA    -- Çoklu enfeksiyon önleme mutex'i
Anti-Debug      -- IsDebuggerPresent kontrolü

IOC

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
AtıfRusya bağlantılı tehdit aktörü (malprogrammer takma adı)
ŞifrelemeRSA-2048 + RC4 iki katman

DanaBot — Profil du malware

DanaBot, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımları veya diğer ikinci aşama yükler indirebilmektedir.

Type de malware
Loader
Langage de programmation
Delphi
Protocole C2
TCP
Systèmes ciblés
Windows

Détails techniques

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — DanaBot
# SHA256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValeurNote
sha256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
danabotbanking-trojancobalt-strike-dropperrsa-rc4two-layer-encryptionrussia-ta