Danabot恶意软件版本669在"终结行动"后重新出现
在2025年5月"终结行动"执法行动导致一段时间的沉寂后,著名的银行木马Danabot带着其新版本669强势回归。这款复杂病毒的重新出现预示着新一代威胁的到来,它们使用复杂的多阶段攻击来瞄准金融机构、加密货币用户和个人受害者。
Danabot有着追踪金融欺诈、信息窃取和凭据盗窃的历史;其最新发展是在基础设施和行为策略方面的技术改进。该恶意软件使用各种攻击方法,如旨在传播其有效负载的鱼叉式网络钓鱼活动和恶意文档,来感染系统。使用具有说服力的社会工程学手段诱骗受害者执行混淆的附件,从而启动初始感染。
设置完成后,Danabot版本669使用多个专门为Windows环境、数据收集和横向网络移动设计的模块。该软件通过瞄准比特币钱包,将其影响范围扩展到传统银行欺诈之外。Zscaler ThreatLabz安全研究人员发现并检查了版本669,验证了其复活并揭示了其技术基础。
值得注意的是,ThreatLabz记录了Danabot命令与控制(C2)架构的变化。为确保操作弹性并使缓解工作复杂化,该恶意软件现在结合使用传统的基于IP的C2和.onion地址来管理有效负载和数据窃取。重要的C2地址包括62.60.226[.]146:443、62.60.226[.]154:443以及多个.onion域名,包括aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwItbcysuybirygxzvp23ad[.]onion:44。
感染机制聚焦
强大的加载程序是Danabot感染过程的核心。该加载程序在执行后从多个C2站点获取进一步加密的模块和配置数据。以下代码片段代表了初始阶段的有效负载部署:
|
|
一旦站稳脚跟,Danabot使用计划任务进行持续执行,并将自身注入合法的Windows进程作为持久化机制。模块化设计使威胁行为者能够在不需要直接用户参与的情况下,远程管理新的有效负载并调整感染参数。在当前威胁环境中,Danabot版本669凭借其战略灵活性以及通过加密配置和C2连接改进的检测规避能力,成为一个强大的对手。