Desmantelan el grupo Danabot que robaba información a nivel global
ESET participó en una importante interrupción de la infraestructura del notorio infostealer denominado Danabot. El procedimiento lo llevaron a cabo el Departamento de Justicia de EEUU, el FBI y el Servicio de Investigación Criminal de Defensa de ese país. Las agencias estadounidenses colaboraron estrechamente con la Bundeskriminalamt de Alemania. También con la Policía Nacional de los Países Bajos y la de Australia.
Por su parte, ESET participó en el esfuerzo junto con Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru y Zscaler. Danabot era un malware con capacidad de robar información.
«Dado que Danabot se desbarató en gran medida, aprovechamos para compartir nuestros conocimientos sobre el funcionamiento de esta operación de ‘malware como servicio’. Cibercriminales ofrecen el acceso a malware a terceros y les brindan soporte a cambio de una suscripción. Identificamos las características utilizadas en las últimas versiones del malware y el modelo de negocio de los autores. Además de una visión general del conjunto de herramientas ofrecidas a los afiliados”.
“Aparte de filtrar datos confidenciales, Danabot también se utilizó para distribuir más malware, que puede incluir ransomware, a un sistema ya comprometido». Así lo afirmó Tomáš Procházka, investigador de ESET que analizó Danabot.
Los autores de Danabot operan como un único grupo, ofreciendo su herramienta en alquiler a potenciales afiliados. Luego la emplean para sus fines maliciosos, estableciendo y gestionando sus propias redes de bots. Desarrollaron una gran variedad de funciones para ayudar a sus clientes con sus fines maliciosos. Las más destacadas son capacidad para robar diversos datos de navegadores, clientes de correo, clientes FTP y otros programas populares. También registro de pulsaciones de teclado y grabación de pantalla, control remoto en tiempo real de los sistemas de las víctimas. Así como captura de archivos (utilizada habitualmente para robar carteras de criptomonedas), compatibilidad con inyecciones web tipo Zeus y captura de formularios.
Además de utilizar sus capacidades de robo, desde ESET identificaron una variedad de cargas útiles que se distribuyeron a través de Danabot a lo largo de los años. Y descubrieron casos en los que se lo utilizó para descargar ransomware en sistemas ya comprometidos.
Danabot también se utilizó en actividades menos convencionales, como la utilización de máquinas comprometidas para lanzar ataques DDoS. Por ejemplo, un ataque DDoS contra el Ministerio de Defensa de Ucrania poco después de la invasión rusa. A lo largo de su existencia, según ESET, fue una herramienta elegida por muchos ciberdelincuentes y cada uno de ellos la implementó por diferentes medios de distribución. Los desarrolladores de Danabot incluso se asociaron con los autores de varios criptadores y cargadores de malware. Y ofrecieron precios especiales para un paquete de distribución a sus clientes, ayudándoles con el proceso.
De todos los mecanismos de distribución que observó ESET, el uso indebido de los anuncios de Google para mostrar sitios web aparentemente relevantes, pero que en realidad maliciosos, entre los enlaces patrocinados en los resultados de búsqueda de Google, se destaca como uno de los métodos más prominentes para atraer a las víctimas a la descarga de Danabot.
La maniobra más popular consiste en empaquetar el malware con software legítimo y ofrecer dicho paquete a través de sitios de software falsos. O sitios web que prometen falsamente a los usuarios ayudarles a encontrar fondos no reclamados. La última adición a estas técnicas de ingeniería social son los sitios web engañosos que ofrecen soluciones para problemas informáticos inventados. Cuyo único propósito es atraer a las víctimas para que ejecuten un comando malicioso insertado secretamente en el portapapeles del usuario.
El conjunto de herramientas típico que proporcionan los autores de Danabot a sus afiliados incluye una aplicación de panel de administración. Además de una herramienta de backconnect para el control en tiempo real de los bots y una aplicación de servidor proxy que retransmite las comunicaciones entre los bots y el servidor de C&C real. Los afiliados pueden elegir entre varias opciones para generar nuevas versiones. Y es su responsabilidad distribuir estas versiones a través de sus propias campañas.
