Dosya Kimliği
| SHA256 | 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.400.832 byte |
| String Sayisi | 2.338 |
DanaBot'un Evrimi
DanaBot, 2018'de Avustralya'da ortaya çıkan Delphi tabanlı modüler banking trojan'dır. 2022'de Rusya'nın NATO iletişimini hedefleyen Cobalt Strike dropper olarak yeniden konumlandırıldı. Temmuz 2023'te FBI/DOJ operasyonuyla ilgili altyapı kapatıldı. Operatörler, müşterilerine farklı ID numaraları tahsis eden MaaS modeli kullandı.
Teknik Özellikler
RSA-2048 + RC4 -- İki katmanlı C2 iletişim şifrelemesi DLL Eklentileri -- Modüler mimari (VNC, sniffer, keylogger, stealer) CreateMutexA -- Çoklu enfeksiyon önleme mutex'i Anti-Debug -- IsDebuggerPresent kontrolü
IOC
| SHA256 | 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Atıf | Rusya bağlantılı tehdit aktörü (malprogrammer takma adı) |
| Şifreleme | RSA-2048 + RC4 iki katman |
DanaBot — Malware Profile
DanaBot, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımları veya diğer ikinci aşama yükler indirebilmektedir.
Technical Details
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |