
L’azienda di sicurezza ESET ha registrato di recente nella sua telemetria un incremento delle attività del trojan bancario DanaBot, inclusi diversi casi dall’Italia.
Il DanaBot è un malware scoperto a inizio anno durante un attacco contro utenti australiani. Nel corso dei mesi sono state riscontrate campagne anche in Polonia, Germania, Austria, Ucraina e, per l’appunto, in Italia.
Il trojan è modulare e molte delle funzionalità sono implementate attraverso l’uso di plug-in, che consente ai suoi creatori di variarlo e aggiornarlo spesso e a seconda delle necessità. Fra i plug-in utilizzati si possono menzionare:
- VNC plug-in – stabilisce una connessione remota al computer colpito per prenderne il controllo
- Sniffer plug-in – inietta script malevoli nel browser dell’utente mentre questo visita siti bancari
- Stealer plug-in – ruba le password da un grande numero di applicazioni, come browser, client FTP e VPN, programmi di chat e di posta elettronica, applicazioni di poker, ecc.
- TOR plug-in – installa un proxy TOR e consente l’accesso a siti del dark web
Nell’agosto 2018 i cyber-criminali hanno iniziato a usare il TOR plug-in per aggiornare la lista dei server di comando e controllo dal sito del dark web y7zmcwurl6nphcve.onion
Il trojan cerca di entrare nel PC dell’utente attraverso e-mail mascherate da fatture di diverse aziende.
I siti bancari italiani presi di mira dal trojan sono i seguenti:
- credem.it
- bancaeuro.it
- csebo.it
- inbank.it
- bancopostaimpresaonline.poste.it
- bancobpm.it
- bancopopolare.it
- ubibanca.com
- icbpi.it
- bnl.it
- banking4you.it
- bancagenerali.it
- ibbweb.tecmarket.it
- gruppocarige.it
- finecobank.com
- gruppocarige.it
- popso.it
- bpergroup.net
- credit-agricole.it
- cariparma.it
- chebanca.it
- creval.it
- bancaprossima.com
- intesasanpaoloprivatebanking.com
- intesasanpaolo.com
- hellobank.it
Mentre i siti e i software di posta elettronica dai quali il malware cerca di rubare le password sono:
- mail.vianova.it
- mail.tecnocasa.it
- MDaemon Webmail
- email.it
- outlook.live.com
- mail.one.com
- tim.it
- mail.google
- tiscali.it
- roundcube
- horde
- webmail*.eu
- webmail*.it