Изображение: recraft
После полугодового перерыва на хакеры вновь активизировали применение вредоносной программы DanaBot. В новом виде она была зафиксирована в серии масштабных хакерских атак, что говорит о возобновлении деятельности кибергруппировки, несмотря на международные усилия по её остановке весной 2025 года.
Исследовательское подразделение Zscaler ThreatLabz сообщило, что была обнаружена очередная версия вредоноса под номером 669. Эта модификация использует обновлённую инфраструктуру командования и управления, в которой применяются домены Tor с расширением .onion и серверы, работающие по схеме обратного соединения.
Также специалисты перечислили адреса криптовалютных кошельков, куда злоумышленники переводят похищенные активы в BTC, ETH, LTC и TRX.
DanaBot в своё время был зафиксирован аналитиками из Proofpoint, когда представлял собой банковский троян, написанный на Delphi. Его распространяли через фишинговые письма и вредоносную рекламу. Позже он стал работать по модели MaaS — киберинструмент в аренду за регулярную оплату, позволяющий широкому кругу преступных акторов применять его без технической доработки. С течением времени вредонос получил модульную структуру и начал использоваться для кражи конфиденциальной информации, включая криптокошельки и данные из браузеров.
С 2021 года данная программа регулярно всплывала в разных вредоносных кампаниях, в том числе крупных, поддерживая постоянную угрозу пользователям.
В мае 2025 года международные спецслужбы объявили об успешной операции под кодовым названием «Эндшпиль», в результате которой были нарушены каналы связи и логистика операторов вредоноса. Тогда же прошла серия задержаний, о чём официально было объявлено в правоохранительных сводках.
При этом по оценке экспертов Zscaler, данная угроза вновь набирает обороты. Инфраструктура полностью восстановлена, и заражения снова начали фиксироваться. За то время, пока вредонос не использовался, многие брокеры, специализирующиеся на продаже первоначального доступа к системам, перешли на альтернативные инструменты.
Появление новой версии DanaBot говорит о том, что интерес к этой платформе у злоумышленников сохраняется. Финансовый мотив продолжает стимулировать распространение, особенно если часть первоначальных участников атаки не была нейтрализована.
Оригинал публикации на сайте CISOCLUB: "Россиян предупредили о возвращении вируса DanaBot, активно атакующего Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.