DanaBot 악성 코드가 Windows 장치를 표적으로 삼아 복수심으로 돌아왔습니다. 안전을 유지하는 방법은 다음과 같습니다.
- DanaBot은 버전 669로 다시 등장했으며 Operation Endgame이 중단된 후 인프라를 재구축했습니다.
- 모듈식 페이로드, 암호화된 C2 기능을 갖추고 있으며 BTC, ETH, LTC 및 TRX를 통한 암호화 도난을 지원합니다.
- Zscaler는 조직에 새로운 IoC를 차단하고 DanaBot의 복귀에 대한 방어 수단을 업데이트할 것을 촉구합니다.
연구원들은 최근 게임의 Operation Endgame 활동 중에 방해를 받은 악명 높은 뱅킹 트로이 목마인 DanaBot이 다시 등장했다고 밝혔습니다.
사이버 보안 연구원인 Zscaler는 DanaBot이 재구축된 인프라를 통해 버전 669로 다시 등장하는 것을 관찰했다고 말했습니다.
트윗에는 “DanaBot은 5월 Operation Endgame 법 집행 조치 이후 거의 6개월 만에 버전 669로 다시 등장했습니다.”라고 적혀 있습니다. Zscaler는 또한 DanaBot의 새로운 명령 및 제어(C2) 인프라의 IP 주소와 피해자로부터 자금을 빼돌리는 데 사용되는 새로운 암호화폐 지갑을 나열했습니다.
결국 그렇게 방해받지 않았어
C2 및 IP 주소의 전체 목록은 여기에서 확인할 수 있습니다. DanaBot은 이제 BTC, ETH, LTC 및 TRX로 현금을 받을 수 있다고 Zscaler는 덧붙였습니다.
DanaBot은 광범위한 위험 기능 목록을 갖춘 모듈식 Windows 뱅킹 트로이 목마입니다. 공격자가 은행 자격 증명, 브라우저 쿠키 및 비밀번호를 훔칠 수 있는 웹 삽입 및 양식 캡처를 포함한 추가 페이로드를 로드할 수 있는 플러그인 기반 아키텍처가 특징입니다.
또한 키로깅 및 화면 캡처, 원격 액세스 및 제어, 암호화된 C2 통신, 다양한 지속성 메커니즘을 지원합니다. 이는 2018년 5월 보안 연구원들이 호주의 은행 고객을 표적으로 삼아 이를 발견했을 때 처음 발견되었습니다. 곧 유럽과 북미를 포함한 다른 지역으로 확장되었습니다.
그러나 DanaBot은 2025년 3월 Operation Endgame이라는 경찰 작전 이후 사라졌습니다. 이번 공격은 랜섬웨어 및 기타 대규모 사이버 범죄를 가능하게 하는 맬웨어 전달 생태계와 초기 액세스 인프라를 방해하는 것을 목표로 Europol이 주도하는 지속적인 국제 작전입니다.
IcedID, Smokeloader, Qakbot, Trickbot 및 DanaBot을 포함하여 가장 인기 있는 백도어, 맬웨어 및 부트로더 작업 중 일부는 Operation Endgame을 통해 이미 중단되었습니다. 당국은 이러한 구성 요소를 공격함으로써 최종 단계의 랜섬웨어 갱단을 추적하는 것이 아니라 랜섬웨어 킬 체인을 소스에서 차단하는 것을 목표로 합니다.
경찰은 맬웨어와 백도어를 차단하는 것 외에도 수천 개의 도메인을 압수하고, 수백만 달러에 달하는 다양한 암호화폐를 압수했으며, 수많은 사람을 체포하고, 훨씬 더 많은 국제 체포 영장을 발부했습니다.
다시 발생하는 DanaBot 공격을 방어하려면 조직은 Zscaler의 새로운 IoC(침해 지표)를 차단 목록에 추가하고 보안 스택을 새로운 서명으로 업데이트해야 합니다.
도로 Bleeping컴퓨터
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도