Компания ESET – лидер в области информационной безопасности – приняла участие в обезвреживании инфраструктуры угрозы Danabot для кражи информации. Операция осуществлялась Министерством юстиции США, ФБР и Министерством обороны США в сотрудничестве с правоохранительными органами Германии, Нидерландов, Австралии.
Компания ESET приняла участие в этой операции вместе с Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru и Zscaler. Исследователи ESET, которые отслеживали Danabot с 2018 года, предоставили технический анализ вредоносного программного обеспечения и его внутренней инфраструктуры, а также идентификацию командных (C&C) серверов Danabot. В течение этого периода специалисты ESET проанализировали различную активность Danabot во всем мире. Совместные усилия по разоблачению также привели к идентификации лиц, ответственных за разработку, продажу, администрирование Danabot и другое.
Злоумышленники Danabot действуют как единая группа, предлагая свои инструменты как услугу другим киберпреступникам, которые используют их в своих преступных целях. К функциям, которые предлагает вредоносная программа, входят возможность кражи различных данных из браузеров, почтовых клиентов, FTP-клиентов и другого популярного программного обеспечения; запись нажатий клавиатуры и экрана; удаленное управление системами пользователей в режиме реального времени; а также перехват файлов.
Кроме использования возможностей для кражи, исследователи ESET фиксировали, как в течение многих лет через Danabot распространялось различное вредоносное программное обеспечение. Кроме этого, специалисты ESET обнаружили случаи использования Danabot для загрузки программ-вымогателей в уже скомпрометированные системы.
В дополнение к этим видам киберпреступности, Danabot также использовался для запуска DDoS-атак с привлечением скомпрометированных компьютеров, например, DDoS-атаки на Министерство обороны Украины сразу же после начала полномасштабного российского вторжения в Украину.
В последнее время среди всех механизмов распространения Danabot, которые обнаруживали исследователи ESET, наиболее распространенным было несанкционированное использование Google Ads для показа вредоносных веб-сайтов в результатах поиска Google. Популярным приемом является сочетание вредоносного с легальным программным обеспечением для дальнейшего распространения через поддельные ресурсы.
Дополнением к этим методам социальной инженерии стали обманчивые веб-сайты, предлагающие решения для фальшивых компьютерных проблем, единственной целью которых являлось заманивание жертв выполнить вредоносную команду, скрыто добавленую в буфер обмена пользователя.
«Пока неизвестно, сможет ли Danabot восстановиться от этой ликвидации. Однако обезвреживание, безусловно, будет ощутимо, поскольку правоохранителям удалось разоблачить несколько лиц, причастных к деятельности вредоносного программного обеспечения», – подытоживает Томаш Прохазка, исследователь ESET.
Более подробную информацию о работе и технический обзор Danabot читайте по ссылке.