ESET monitora Danabot dal 2018. Il malware, offerto come servizio, è noto per il furto di dati e la diffusione di ransomware. L’analisi di ESET svela le funzionalità più recenti e il modello di business degli sviluppatori. Tra i Paesi più colpiti figurano Polonia, Italia, Spagna e Turchia
ESET, leader europeo globale nel mercato della cybersecurity, ha partecipato a un’importante operazione internazionale volta alla neutralizzazione dell’infrastruttura del malware Danabot. L’azione è stata coordinata dal U.S. Department of Justice, dall’FBI e dal U.S. Department of Defense’s Defense Criminal Investigative Service, con il supporto di Europol ed Eurojust.
Le agenzie statunitensi hanno operato in stretta collaborazione con il Bundeskriminalamt (Germania), la Netherlands’ National Police e l’Australian Federal Police, insieme a partner privati tra cui Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru e Zscaler.
ESET ha fornito un contributo significativo grazie all’analisi tecnica del malware e della sua infrastruttura di backend, oltre all’identificazione dei server di Command and Control (C&C) di Danabot.
ESET Research monitora Danabot dal 2018, analizzandone campagne attive a livello globale. Tra i Paesi storicamente più colpiti figurano Polonia, Italia, Spagna e Turchia. Nato come infostealer, Danabot è stato frequentemente impiegato anche come vettore per la distribuzione di ulteriori minacce, tra cui ransomware.
L’operazione – condotta nell’ambito dell’iniziativa globale Operation Endgame – ha portato allo smantellamento di infrastrutture critiche utilizzate per la diffusione di ransomware tramite software malevolo. L’intervento congiunto ha anche permesso l’identificazione di diversi individui coinvolti nello sviluppo, nella vendita e nella gestione di Danabot.
“Con Danabot ormai ampiamente compromesso, cogliamo l’occasione per condividere la nostra analisi su questa operazione di malware-as-a-service, descrivendo le funzionalità più recenti del malware, il modello di business degli autori e gli strumenti offerti agli affiliati”, spiega Tomáš Procházka, ricercatore di ESET coinvolto nell’indagine.
Gli sviluppatori di Danabot operano come un’unica entità, offrendo il malware a noleggio agli affiliati, che a loro volta lo impiegano per gestire botnet autonome. Il malware include numerose funzionalità avanzate:
– Furto di dati da browser, client email, client FTP e altri software;
– Keylogging e screen recording;
– Controllo remoto in tempo reale dei sistemi infetti;
– File grabbing, spesso rivolto al furto di wallet di criptovalute;
– Supporto a webinject in stile Zeus e form grabbing;
– Caricamento ed esecuzione di payload scelti dall’attaccante.
ESET ha inoltre documentato l’uso di Danabot per scopi diversi dalla sola esfiltrazione di dati. In casi documentati, è stato utilizzato anche per condurre attacchi DDoS, come quello rivolto al Ministry of Defense of Ukraine poco dopo l’invasione russa del 2022.
Nel tempo, i criminali informatici affiliati hanno adottato diversi metodi di distribuzione. Recentemente, ESET ha individuato l’abuso di Google Ads, usati per mostrare link sponsorizzati apparentemente legittimi ma in realtà malevoli. Tali campagne indirizzano le vittime verso siti fraudolenti che offrono software infetti o soluzioni per problemi informatici inesistenti. Altre tecniche includono pacchetti software falsi e siti che promettono il recupero di fondi non reclamati.
Il kit messo a disposizione degli affiliati include un pannello di amministrazione, uno strumento di backconnect per il controllo remoto in tempo reale e un’applicazione proxy per instradare le comunicazioni tra i bot e i server C&C. Gli affiliati sono responsabili della creazione di nuove varianti del malware e della loro diffusione attraverso campagne personalizzate.
“Non è ancora chiaro se Danabot riuscirà a riprendersi da questo colpo. L’operazione ha comunque inflitto un danno sostanziale, portando allo smascheramento di diversi soggetti coinvolti nelle sue attività”, conclude Procházka.
