Un’operazione internazionale con la partecipazione di ESET ha puntato a neutralizzare l’infrastruttura del malware Danabot, specializzato nel furto di dati e diffusione di ransomware. L’azione è stata coordinata da U.S. Department of Justice, FBI e U.S. Department of Defense’s Defense Criminal Investigative Service, con il supporto di Europol ed Eurojust. Le agenzie Usa hanno lavorato con Bundeskriminalamt (Germania), Netherlands’ National Police e Australian Federal Police e diversi partner privati. Tra questi: Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru e Zscaler. ESET ha contribuito con l’analisi tecnica del malware e della sua infrastruttura di backend. Oltre all’identificazione dei server di Command and Control (C&C) di Danabot.
L’Italia tra i Paesi presi più di mira dal malware Danabot
ESET Research monitora Danabot dal 2018, analizzandone campagne attive a livello globale. Tra i Paesi storicamente più colpiti figurano Polonia, Italia, Spagna e Turchia. Nato come infostealer, Danabot è stato frequentemente impiegato anche come vettore per la distribuzione di ulteriori minacce, tra cui ransomware. Condotta nell’ambito dell’iniziativa globale Operation Endgame, l’operazione ha portato allo smantellamento di infrastrutture critiche utilizzate per la diffusione di ransomware tramite software malevolo. L’intervento congiunto ha anche permesso l’identificazione di diversi individui coinvolti nello sviluppo, nella vendita e nella gestione di Danabot.
La lista delle funzionalità più avanzate
Tomáš Procházka, ricercatore di ESET coinvolto nell’indagine Con Danabot ormai ampiamente compromesso, cogliamo l’occasione per condividere la nostra analisi su questa operazione di malware-as-a-service. Descrivendo in questo modo le funzionalità più recenti del malware, il modello di business degli autori e gli strumenti offerti agli affiliati”.
Chi sono gli sviluppatori del malware Danabot
Gli sviluppatori di Danabot operano come un’unica entità, offrendo il malware a noleggio agli affiliati. Questi a loro volta lo impiegano per gestire botnet autonome. Il malware include numerose funzionalità avanzate:
– furto di dati da browser, client email, client FTP e altri software;
– keylogging e screen recording;
– controllo remoto in tempo reale dei sistemi infetti;
– file grabbing, spesso rivolto al furto di wallet di criptovalute;
– supporto a webinject in stile Zeus e form grabbing;
– caricamento ed esecuzione di payload scelti dall’attaccante.
Cambiano i metodi di distribuzione, ma il pericolo rimane lo stesso
ESET ha inoltre documentato l’uso di Danabot per scopi diversi dalla sola esfiltrazione di dati. In casi documentati, è stato utilizzato anche per condurre attacchi DDoS. Un esempio è quello rivolto al Ministry of Defense of Ukraine poco dopo l’invasione russa del 2022. Nel tempo, i cybercriminali affiliati hanno adottato diversi metodi di distribuzione. Recentemente, ESET ha individuato l’abuso di Google Ads, usati per mostrare link sponsorizzati apparentemente legittimi ma in realtà malevoli. Tali campagne indirizzano le vittime verso siti fraudolenti che offrono software infetti o soluzioni per problemi informatici inesistenti. Altre tecniche includono pacchetti software falsi e siti che promettono il recupero di fondi non reclamati.
Gli affiliati coinvolti in una ‘catena di San Antonio’
Il kit messo a disposizione degli affiliati include un pannello di amministrazione, uno strumento di backconnect per il controllo remoto in tempo reale e un’applicazione proxy per instradare le comunicazioni tra i bot e i server C&C. Gli affiliati sono responsabili della creazione di nuove varianti del malware e della loro diffusione attraverso campagne personalizzate.
Tutti contro il malware Danabot
Tomáš Procházka Non è ancora chiaro se Danabot riuscirà a riprendersi da questo colpo. L’operazione ha comunque inflitto un danno sostanziale, portando allo smascheramento di diversi soggetti coinvolti nelle sue attività.
