DanBot

O DanBot é a principal carga útil ameaçadora entregue em ataques por um grupo de Ameaça Persistente Avançada (APT) chamado Lyceum. O mesmo grupo de hackers também é denominado Hexano pela comunidade de segurança cibernética. As operações do Lyceum estão focadas em entidades de petróleo, gás e telecomunicações localizadas estritamente no Oriente Médio. Os ataques em grupo são caracterizados por uma estrutura altamente complexa que envolve vários estágios. O DanBot é descartado no segundo estágio por um malware dropper chamado DanDrop.

Em sua essência, o DanBot é um Trojan de Acesso Remoto que permite que os hackers controlem o computador comprometido na fase pós-infecção do ataque. Para entrar em contato com a infraestrutura Command-and-Control (C2, C&C), DanBot usa os protocolos DNS e HTTP.

Ao analisar o tráfego DNS produzido pelo RAT, os pesquisadores da infosec descobriram que ele exfiltra certos dados do sistema sobre o computador comprometido. As solicitações de domínio também contêm informações de registro para o malware DanBot usado para atribuir um novo ID de bot para a ameaça à vítima específica.

As solicitações HTTP também produziram alguns achados interessantes. Aparentemente, o Trojan tenta a autorização com uma senha codificada na Base64, ao mesmo tempo que emprega um agente de usuário disfarçado como o Firefox.