O malware DanaBot voltou a ser identificado em ataques seis meses após a Operação Endgame, conduzida por autoridades em maio deste ano, ter prejudicado suas atividades.
Pesquisadores da Zscaler ThreatLabz detectaram uma nova variante do DanaBot, a versão 669, que utiliza uma infraestrutura de comando e controle (C2) baseada em domínios Tor (.onion) e em nós “backconnect”.
Além disso, a Zscaler mapeou diversos endereços de criptomoedas — em BTC, ETH, LTC e TRX — usados pelos criminosos para receber fundos roubados.
O DanaBot foi inicialmente descoberto por pesquisadores da Proofpoint como um trojan bancário desenvolvido em Delphi, distribuído por meio de e-mails e malvertising.
Funcionando no modelo malware-as-a-service (MaaS), ele era alugado para cibercriminosos mediante assinatura.
Ao longo dos anos, o malware evoluiu para um sistema modular, capaz de roubar informações e atuar como loader, com foco principalmente em credenciais e dados de carteiras de criptomoedas armazenadas em navegadores.
Foram diversas campanhas, algumas em larga escala, e o DanaBot voltou a aparecer esporadicamente a partir de 2021, mantendo-se uma ameaça constante para usuários na internet.
Em maio, a Operação Endgame, uma ação internacional coordenada, desmantelou a infraestrutura do DanaBot, resultando em prisões e apreensões que prejudicaram significativamente suas operações.
Mesmo assim, segundo a Zscaler, o DanaBot está ativo novamente, com a infraestrutura reconstruída.
Enquanto a operação estava fora do ar, vários “initial access brokers” (IAB) migraram para outras famílias de malware.
O retorno do DanaBot demonstra a resiliência dos cibercriminosos, que persistem enquanto houver lucro, mesmo após um período de paralisação, especialmente quando os principais operadores não são capturados.
Os métodos típicos de infecção continuam sendo e-mails maliciosos (com links ou anexos), envenenamento de SEO e campanhas de malvertising — algumas delas inclusive funcionando como porta de entrada para ataques de ransomware.
Para se proteger contra ataques do DanaBot, organizações devem incluir na lista de bloqueio os novos indicadores de compromisso (IoCs) divulgados pela Zscaler e manter suas soluções de segurança sempre atualizadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...