Desmantelan al grupo de robo de información Danabot

La compañía de detección de amenazas ESET dio a conocer que participó en la interrupción de la infraestructura del notorio infostealer (malware que tiene la capacidad de robar información) Danabot, realizada por el Departamento de Justicia de EE.UU., el FBI y el Servicio de Investigación Criminal del Departamento de Defensa de EE.UU. Las agencias estadounidenses colaboraron con la Bundeskriminalamt de Alemania, la Policía Nacional de los Países Bajos y la Policía Federal de Australia. ESET participó en el esfuerzo junto con Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru y Zscaler.

"Dado que Danabot ha sido desbaratado en gran medida, aprovechamos para compartir nuestros conocimientos sobre el funcionamiento de esta operación de malware como servicio (cibercriminales que ofrecen el acceso a malware a terceros y les brindan soporte a cambio de una suscripción), identificando las características utilizadas en las últimas versiones del malware, el modelo de negocio de los autores y una visión general del conjunto de herramientas ofrecidas a los afiliados”, dijo Tomáš Procházka, investigador de ESET que analizó Danabot. “Además de filtrar datos confidenciales, Danabot también se utilizó para distribuir más malware, que puede incluir ransomware, a un sistema ya comprometido".

Los autores de Danabot operaban como un único grupo, ofreciendo su herramienta en alquiler a potenciales afiliados, que luego la empleaban para sus fines maliciosos, estableciendo y gestionando sus propias redes de bots. El grupo desarrolló una gran variedad de funciones para fines maliciosos, entre las cuales estaban:

• capacidad para robar diversos datos de navegadores, clientes de correo, clientes FTP y otros programas populares;
• registro de pulsaciones de teclado y grabación de pantalla;
• control remoto en tiempo real de los sistemas de las víctimas;
• captura de archivos (utilizada habitualmente para robar carteras de criptomonedas);
• compatibilidad con inyecciones web tipo Zeus y captura de formularios.

Además de utilizar sus capacidades de robo, ESET identificó una variedad de cargas útiles distribuidas a través de Danabot a lo largo de los años, y descubrieron casos en los que se utilizó para descargar ransomware en sistemas ya comprometidos.

Danabot también fue utilizado en actividades menos convencionales, como la utilización de máquinas comprometidas para lanzar ataques DDoS, como un ataque DDoS contra el Ministerio de Defensa de Ucrania poco después de la invasión rusa de Ucrania.

De todos los mecanismos de distribución observados por ESET, el uso indebido de anuncios de Google para mostrar sitios web aparentemente relevantes, pero que en realidad maliciosos, entre los enlaces patrocinados en los resultados de búsqueda de Google, se destaca como uno de los métodos más prominentes para atraer a las víctimas a la descarga de Danabot. La maniobra más popular era empaquetar el malware con software legítimo y ofrecer dicho paquete a través de sitios de software falsos o sitios web que prometían falsamente a los usuarios ayudarles a encontrar fondos no reclamados.

La última adición a estas técnicas de ingeniería social fueron los sitios web engañosos que ofrecían soluciones para problemas informáticos inventados, cuyo único propósito era atraer a las víctimas para que ejecutaran un comando malicioso insertado secretamente en el portapapeles del usuario.

El conjunto de herramientas típico proporcionado por los autores de Danabot a sus afiliados incluía una aplicación de panel de administración, una herramienta de backconnect para el control en tiempo real de los bots y una aplicación de servidor proxy que retransmitía las comunicaciones entre los bots y el servidor de C&C real. Los afiliados podían elegir entre varias opciones para generar nuevas versiones.

El equipo de investigación de ESET, que estuvo rastreando a Danabot desde 2018, contribuyó con asistencia que incluyó proporcionar análisis técnico del malware y su infraestructura de backend, así como identificar los servidores de C&C de Danabot. Durante ese período, Polonia, Italia, España y Turquía fueron los países más atacados. El esfuerzo conjunto de desmantelamiento también llevó a la identificación de individuos responsables del desarrollo, ventas y administración de Danabot, entre otros.