Недавнее исследование компании ESET проливает свет на деятельность инфокрада Danabot — одной из наиболее известных вредоносных платформ, которая была ликвидирована в ходе международной операции «Эндшпиль». Эта масштабная инициатива координировалась такими организациями, как ФБР и Министерство обороны США, при активном участии многих компаний в области кибербезопасности.
Что известно о Danabot?
Danabot представляет собой вредоносное ПО, в основном написанное на Delphi, которое начало активную деятельность с 2018 года. Изначально нацеленное на австралийских пользователей посредством спам-кампаний, оно быстро расширило области применения, внедряя разнообразные методы для кражи конфиденциальных данных и распространения вредоносных программ.
Принцип работы Danabot основан на модели Malware as a Service (MaaS), что позволяет аффилированным лицам арендовать вредоносное ПО и использовать его для проведения атак. Ключевые функции этой платформы включают:
- Извлечение конфиденциальной информации из браузеров и почтовых клиентов;
- Ведение кейлоггера (запись нажатий клавиш);
- Запись экрана инфицированного устройства;
- Развертывание дополнительных вредоносных программ, включая ransomware;
Инфраструктура и технологии защиты
Поначалу инфраструктура Danabot строилась на централизованных серверах, но в последующих версиях были внедрены возможности установки частных серверов для отдельных филиалов, что значительно повысило устойчивость к сбоям и затруднило работу правоохранительных органов.
Партнёры, работающие с Danabot, получают доступ к полному набору инструментов для управления ботнетами — включая удобную административную панель, позволяющую выдавать команды и извлекать данные. Передача управляющих команд и данных осуществляется через защищённый протокол с использованием шифрования AES-256.
Интересно, что в обновлениях вредоносного ПО были обнаружены неправильные методы кодирования, которые приводили к непреднамеренному включению областей памяти, окружающих данные, в пакеты C&C. Эта уязвимость дала исследователям важную информацию о внутреннем устройстве Danabot, однако в последующих версиях она была устранена.
Методы распространения и тактика
Способы распространения Danabot постоянно изменялись и усовершенствовались, включая:
- Целенаправленные спам-кампании по электронной почте;
- Использование других вредоносных программ (в частности, Smokeloader) для доставки Danabot;
- Рекламные кампании в Google, используемые для проведения вредоносных рекламных акций;
- Создание обманчивых веб-сайтов, которые предлагали falso поддержку для «исправления» проблем с компьютером, вынуждая пользователей загружать вредоносное ПО.
Перспективы и значимость операции «Эндшпиль»
Недавнее отключение инфраструктуры Danabot является значительным успехом в борьбе с киберпреступностью. Тем не менее, учитывая историю многочисленных попыток восстановления и адаптации платформы, будущее Danabot остаётся неопределённым. По мнению экспертов, постоянное отслеживание и глубокий анализ операционной модели Danabot и его векторов атак остаются ключевыми для понимания возможностей вредоноса адаптироваться или возродиться после подобных ударов.
Операция «Эндшпиль» стала наглядным примером успешного международного сотрудничества в сфере кибербезопасности, демонстрируя, что борьба с современными угрозами требует объединения усилий правоохранителей и экспертов индустрии.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ ликвидации Danabot: уроки международной операции «Эндшпиль»".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.