Lo daban por vencido. DanaBot regresa tras medio año de inactividad.
¿Por qué la operación especial internacional no logró los resultados esperados?
El regreso del malware DanaBot después de una larga pausa sorprendió a la industria: tras casi medio año de inactividad relacionado con una operación internacional de las fuerzas de seguridad, se empezó a registrar una nueva oleada de ataques. La pausa, provocada por la incautación de servidores y las acusaciones contra personas vinculadas con la infraestructura, no detuvo a los creadores del troyano: lograron restaurar el servicio y devolver la actividad a su nivel anterior.
Los especialistas de Zscaler ThreatLabz informaron de la aparición de la versión 669, en la que se actualizó el esquema de comandos y se utilizan direcciones en la red Tor, así como nodos "backconnect" para la interacción remota con sistemas infectados. El equipo también identificó billeteras criptográficas a las que los operadores dirigen los activos robados en BTC, ETH, LTC y TRX.
Según Zscaler, la familia actualizada vuelve a propagarse por los métodos habituales: a través de mensajes con archivos adjuntos maliciosos o enlaces, anuncios publicitarios falsos y resultados de búsqueda manipulados por los atacantes. Algunas cadenas de infección llevaron a la instalación de programas de cifrado de datos.
DanaBot se dio a conocer por primera vez tras una publicación de Proofpoint, donde se le describía como un troyano en Delphi que se difundía mediante campañas de correo y anuncios publicitarios maliciosos. Funcionaba según un modelo de distribución como servicio y se alquilaba a distintos grupos.
Con el tiempo la funcionalidad se amplió: la herramienta se convirtió en un conjunto de módulos para la carga remota de código malicioso, la recopilación de credenciales y el robo del contenido de billeteras de criptomonedas almacenadas en navegadores. En los últimos años esta herramienta ha aparecido en numerosas campañas de distinta escala y ha sido una amenaza constante para los usuarios.
Esta primavera las fuerzas del orden internacionales llevaron a cabo una operación denominada "Operation Endgame", en el marco de la cual se desactivó la infraestructura de Danabot y se anunciaron cargos contra las personas implicadas. Esto redujo notablemente la actividad; sin embargo, participantes clave eludieron la detención, lo que les permitió volver a desplegar el sistema de control.
Mientras Danabot estuvo ausente, los intermediarios que proporcionaban el acceso inicial a las redes de las empresas se pasaron a otras herramientas, pero el regreso de la versión actualizada mostró que la motivación financiera sigue impulsando a los atacantes a restaurar plataformas antiguas.
Según Zscaler, para reducir riesgos las organizaciones deberían añadir indicadores de compromiso recientes a sus listas de bloqueo y actualizar oportunamente sus herramientas de protección para frenar los intentos de infección.