Анализ ликвидации Danabot: уроки международной операции «Эндшпиль»

Недавнее исследование компании ESET проливает свет на деятельность инфокрада Danabot — одной из наиболее известных вредоносных платформ, которая была ликвидирована в ходе международной операции «Эндшпиль». Эта масштабная инициатива координировалась такими организациями, как ФБР и Министерство обороны США, при активном участии многих компаний в области кибербезопасности.

Что известно о Danabot?

Danabot представляет собой вредоносное ПО, в основном написанное на Delphi, которое начало активную деятельность с 2018 года. Изначально нацеленное на австралийских пользователей посредством спам-кампаний, оно быстро расширило области применения, внедряя разнообразные методы для кражи конфиденциальных данных и распространения вредоносных программ.

Принцип работы Danabot основан на модели Malware as a Service (MaaS), что позволяет аффилированным лицам арендовать вредоносное ПО и использовать его для проведения атак. Ключевые функции этой платформы включают:

• Извлечение конфиденциальной информации из браузеров и почтовых клиентов;
• Ведение кейлоггера (запись нажатий клавиш);
• Запись экрана инфицированного устройства;
• Развертывание дополнительных вредоносных программ, включая ransomware;

Инфраструктура и технологии защиты

Поначалу инфраструктура Danabot строилась на централизованных серверах, но в последующих версиях были внедрены возможности установки частных серверов для отдельных филиалов, что значительно повысило устойчивость к сбоям и затруднило работу правоохранительных органов.

Партнёры, работающие с Danabot, получают доступ к полному набору инструментов для управления ботнетами — включая удобную административную панель, позволяющую выдавать команды и извлекать данные. Передача управляющих команд и данных осуществляется через защищённый протокол с использованием шифрования AES-256.

Интересно, что в обновлениях вредоносного ПО были обнаружены неправильные методы кодирования, которые приводили к непреднамеренному включению областей памяти, окружающих данные, в пакеты C&C. Эта уязвимость дала исследователям важную информацию о внутреннем устройстве Danabot, однако в последующих версиях она была устранена.

Методы распространения и тактика

Способы распространения Danabot постоянно изменялись и усовершенствовались, включая:

• Целенаправленные спам-кампании по электронной почте;
• Использование других вредоносных программ (в частности, Smokeloader) для доставки Danabot;
• Рекламные кампании в Google, используемые для проведения вредоносных рекламных акций;
• Создание обманчивых веб-сайтов, которые предлагали falso поддержку для «исправления» проблем с компьютером, вынуждая пользователей загружать вредоносное ПО.

Перспективы и значимость операции «Эндшпиль»

Недавнее отключение инфраструктуры Danabot является значительным успехом в борьбе с киберпреступностью. Тем не менее, учитывая историю многочисленных попыток восстановления и адаптации платформы, будущее Danabot остаётся неопределённым. По мнению экспертов, постоянное отслеживание и глубокий анализ операционной модели Danabot и его векторов атак остаются ключевыми для понимания возможностей вредоноса адаптироваться или возродиться после подобных ударов.

Операция «Эндшпиль» стала наглядным примером успешного международного сотрудничества в сфере кибербезопасности, демонстрируя, что борьба с современными угрозами требует объединения усилий правоохранителей и экспертов индустрии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.