ESET ondersteunt opsporingsinstanties bij verstoren van infostealer Danabot

ESET volgt sinds 2018 de activiteiten van Danabot en heeft technische ondersteuning geboden door de malware en de bijbehorende backend-infrastructuur te analyseren. Het bedrijf heeft ook geholpen bij het opsporen van command-and-controlservers. Tijdens het onderzoek werden verschillende wereldwijde Danabot-campagnes onderzocht, waarbij landen zoals Polen, Italië, Spanje en Turkije herhaaldelijk als doelwit werden geïdentificeerd.

Bovendien heeft de operatie geleid tot de identificatie van meerdere personen die betrokken zijn bij de ontwikkeling, verkoop en het beheer van Danabot.

Inzicht in malware-as-a-service

“Nu Danabot grotendeels is verstoord, delen we onze inzichten in deze malware-as-a-service-operatie,” zegt ESET-onderzoeker Tomáš Procházka. “We gaan in op de nieuwste functies, het verdienmodel van de ontwikkelaars en het arsenaal dat criminele afnemers ter beschikking wordt gesteld. Behalve voor datadiefstal wordt Danabot ook gebruikt om extra malware, zoals ransomware, te installeren op reeds geïnfecteerde systemen.”

Danabot is ontwikkeld door een centrale groep die de tool verhuurt aan criminelen. Deze groep gebruikt Danabot voor eigen kwaadwillende doeleinden en beheert hun eigen botnets.

Uitgebreide functionaliteit

De malware biedt een breed scala aan functies, waaronder:

• Het stelen van gegevens uit browsers, e-mailprogramma’s en FTP-clients;
• Keylogging en schermopnames;
• Besturing op afstand van geïnfecteerde systemen;
• Het stelen van bestanden, zoals cryptowallets;
• Webinjects en form grabbing, vergelijkbaar met Zeus-malware;
• Upload en uitvoering van kwaadaardige bestanden.

ESET heeft waargenomen dat Danabot door de jaren heen ook is gebruikt om verschillende soorten kwaadaardige payloads te verspreiden, waaronder ransomware.

Misbruik van Google Ads en andere verspreidingsmethoden

Danabot wordt op verschillende manieren verspreid. Een opvallende methode is het misbruiken van Google Ads om gebruikers naar malafide websites te lokken, waar ze worden verleid om Danabot te downloaden. De meest gebruikte methode is het bundelen van Danabot met legitieme software en het aanbieden van zo’n pakket via nepsoftwarewebsites. Of via websites die gebruikers ten onrechte beloven bij het opsporen van niet opgeëiste tegoeden.

Een recent voorbeeld van social engineering is het gebruik van nepsites die oplossingen bieden voor verzonnen computerproblemen. Het doel is om slachtoffers een kwaadaardig commando uit te laten voeren dat onopvallend aan het klembord is toegevoegd.

De toolset die aan criminele afnemers wordt aangeboden omvat:

• Een beheerpaneel;
• Een backconnect-tool voor live beheer van geïnfecteerde systemen;
• Een proxyserverapplicatie voor communicatie tussen de bots en de C&C-server.

Criminele afnemers kunnen zelf Danabot-builds genereren en zijn verantwoordelijk voor de verspreiding ervan via hun eigen campagnes.

Blijvende impact van de operatie

“Het is nog onduidelijk of Danabot zich zal herstellen van deze actie. De klap is echter aanzienlijk, zeker nu diverse betrokkenen zijn geïdentificeerd,” aldus Procházka.

Meer informatie is hier te vinden.