Ci è stato reso noto che ESET ha partecipato a un’importante operazione internazionale volta alla neutralizzazione dell’infrastruttura del malware Danabot. L’azione è stata coordinata dal U.S. Department of Justice, dall’FBI e dal U.S. Department of Defense’s Defense Criminal Investigative Service, con il supporto di Europol ed Eurojust.
Le agenzie statunitensi hanno operato in stretta collaborazione con il Bundeskriminalamt (Germania), la Netherlands’ National Police e l’Australian Federal Police, insieme a partner privati tra cui Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru e Zscaler.
ESET ha fornito un contributo significativo grazie all’analisi tecnica del malware e della sua infrastruttura di backend, oltre all’identificazione dei server di Command and Control (C&C) di Danabot.
ESET Research monitora Danabot dal 2018, analizzandone campagne attive a livello globale. Tra i Paesi storicamente più colpiti figurano Polonia, Italia, Spagna e Turchia. Nato come infostealer, Danabot è stato frequentemente impiegato anche come vettore per la distribuzione di ulteriori minacce, tra cui ransomware.
L’operazione difensiva
L’operazione di difesa, condotta nell’ambito dell’iniziativa globale Operation Endgame, ha portato allo smantellamento di infrastrutture critiche utilizzate per la diffusione di ransomware tramite software malevolo. L’intervento congiunto ha anche permesso l’identificazione di diversi individui coinvolti nello sviluppo, nella vendita e nella gestione di Danabot.
“Con Danabot ormai ampiamente compromesso, cogliamo l’occasione per condividere la nostra analisi su questa operazione di malware-as-a-service, descrivendo le funzionalità più recenti del malware, il modello di business degli autori e gli strumenti offerti agli affiliati”, spiega Tomáš Procházka, ricercatore di ESET coinvolto nell’indagine.
Gli sviluppatori di Danabot operano come un’unica entità, offrendo il malware a noleggio agli affiliati, che a loro volta lo impiegano per gestire botnet autonome.
Il malware include numerose funzionalità avanzate:
– Furto di dati da browser, client email, client FTP e altri software;
– Keylogging e screen recording;
– Controllo remoto in tempo reale dei sistemi infetti;
– File grabbing, spesso rivolto al furto di wallet di criptovalute;
– Supporto a webinject in stile Zeus e form grabbing;
– Caricamento ed esecuzione di payload scelti dall’attaccante.
ESET ha inoltre documentato l’uso di Danabot per scopi diversi dalla sola esfiltrazione di dati. In casi documentati, è stato utilizzato anche per condurre attacchi DDoS, come quello rivolto al Ministry of Defense of Ukraine poco dopo l’invasione russa del 2022.
Tattiche dei criminali del malware Danabot
Nel tempo, i criminali informatici affiliati hanno adottato diversi metodi di distribuzione. Recentemente, ESET ha individuato l’abuso di Google Ads, usati per mostrare link sponsorizzati apparentemente legittimi ma in realtà malevoli. Tali campagne indirizzano le vittime verso siti fraudolenti che offrono software infetti o soluzioni per problemi informatici inesistenti. Altre tecniche includono pacchetti software falsi e siti che promettono il recupero di fondi non reclamati.
Il kit messo a disposizione degli affiliati include un pannello di amministrazione, uno strumento di backconnect per il controllo remoto in tempo reale e un’applicazione proxy per instradare le comunicazioni tra i bot e i server C&C. Gli affiliati sono responsabili della creazione di nuove varianti del malware e della loro diffusione attraverso campagne personalizzate.
“Non è ancora chiaro se Danabot riuscirà a riprendersi da questo colpo. L’operazione ha comunque inflitto un danno sostanziale, portando allo smascheramento di diversi soggetti coinvolti nelle sue attività”, conclude Procházka.
