O Danabot é um trojan bancário de diversos módulos, escrito em Delphi, e permite que os desenvolvedores adicionem novas funcionalidades através da adição de novos plug-ins.

Os plug-ins que foram adicionados em maio de 2018 são os seguintes:

VNC plug-in – estabelece conexão com o computador da vítima e depois controla-lo remotamente Sniffer plug-in – injeta código malicioso no browser da vítima, normalmente através da visita de sites de home banking Stealer plug-in – rouba passwords de múltiplas aplicações TOR plug-in – instala um proxy de TOR e estabelece acesso a sites .onion

Segundo a Proofpoint, os principais alvos do trojan inicialmente eram a Austrália e Polónia. Só depois é que se expandiu para países europeus. A campanha em direção à Polónia está ainda ativa, e é a maior, sendo que aqui os atacantes usaram mensagens de spam de forma a comprometer as vítimas através de uma técnica designada por Brishloader, uma combinação de código de Powershell e VBS.

Desde este mês, foi adicionado o plug-in de RDP, baseado no projeto open-source RDPWrap, que permite conexões de Remote Desktop Protocol em máquinas Windows que normalmente não as suportam.

Além disso, este plug-in é menos provavelmente bloqueado pelas firewalls, sendo também que este protocolo permite um maior número de conexões simultâneas, algo extremamente importante em operações de "reconnaissance" enquanto a vítima usa a máquina.

“The new features introduced in these latest campaigns indicate the attackers behind DanaBot continue to make use of the malware’s modular architecture to increase their reach and success rate.” concludes ESET.