El malware DanaBot ha regresado con una nueva versión observada en los ataques, seis meses después de que la Operación Endgame de las fuerzas del orden interrumpiera su actividad en mayo.
Según los investigadores de seguridad de Zscaler ThreatLabz, existe una nueva variante de DanaBot, la versión 669, que tiene una infraestructura de comando y control (C2) que utiliza dominios Tor (.onion) y nodos de «reconexión».
Zscaler también identificó y enumeró varias direcciones de criptomonedas que los actores de amenazas utilizan para recibir fondos robados, en BTC, ETH, LTC y TRX.
DanaBot fue el primero revelado por Proofpoint investigadores como un basado en Delphi troyano bancario entregado por correo electrónico y publicidad maliciosa.
Operaba bajo un modelo de malware como servicio (MaaS), y se alquilaba a ciberdelincuentes por una tarifa de suscripción.
En los años siguientes, el malware evolucionado en un ladrón y cargador de información modular, dirigido a credenciales y datos de billeteras de criptomonedas almacenados en navegadores web.
El malware se utilizó en numerosas campañas, algunas de las cuales fueron a gran escala, y reapareció ocasionalmente a partir de 2021, y siguió siendo una amenaza constante para los usuarios de Internet.
En mayo de este año, un esfuerzo internacional de aplicación de la ley con el nombre en código 'Operación final' interrumpió la infraestructura de Danabot y anunció acusaciones e incautaciones, que degradó significativamente sus operaciones.
Sin embargo, según ZscalerDanabot vuelve a estar activo, con una infraestructura reconstruida. Si bien la operación de Danabot estuvo inactiva, muchos corredores de acceso inicial (IAB) recurrieron a otro malware.
El resurgimiento de DanaBot muestra que los ciberdelincuentes son resistentes en su actividad siempre que haya un incentivo financiero, a pesar de una interrupción de varios meses, especialmente cuando los operadores principales no son arrestados.
Los métodos de acceso inicial típicos observados en las infecciones por DanaBot incluyen correos electrónicos maliciosos (a través de enlaces o archivos adjuntos), envenenamiento de SEO y campañas de publicidad maliciosa, algunas de las cuales condujeron a ransomware.
Las organizaciones pueden defenderse de los ataques de DanaBot agregando a sus listas de bloqueo los nuevos indicadores de compromiso (IoC) de Zscaler y actualizando sus herramientas de seguridad.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
