- Principalement développé comme voleur d’informations, Danabot distribue également d’autres logiciels, notamment des rançongiciels, et ses auteurs proposent diverses options de location via des forums clandestins.
- ESET Research analyse les fonctionnalités des dernières versions, le modèle économique des auteurs et l’ensemble des outils proposés aux affiliés.
- La Pologne, l’Italie, l’Espagne et la Turquie figurent parmi les pays historiquement les plus ciblés par Danabot.
- ESET Research suit l’activité de Danabot depuis 2018.
iT-News (ESET) – ESET a contribué à une opération majeure visant à perturber l’infrastructure du célèbre voleur d’informations Danabot, menée par le ministère américain de la Justice, le FBI et le service d’enquête criminelle de la défense du ministère américain de la Défense. Ces agences américaines ont collaboré étroitement avec le Bundeskriminalamt allemand, la police nationale néerlandaise et la police fédérale australienne. ESET a participé à cette opération aux côtés d’Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru et Zscaler.
ESET Research, qui suit Danabot depuis 2018, a fourni une analyse technique du logiciel malveillant et de son infrastructure backend, ainsi qu’identifié les serveurs C&C. Pendant cette période, ESET a analysé diverses campagnes Danabot à travers le monde, avec des cibles historiques en Pologne, en Italie, en Espagne et en Turquie. L’effort commun a également permis d’identifier les responsables du développement, des ventes et de l’administration de Danabot. Ces opérations ont été menées dans le cadre de l’opération Endgame, une initiative mondiale visant à identifier, démanteler et poursuivre les réseaux cybercriminels, coordonnée par Europol et Eurojust.
« Profitant de la perturbation majeure de Danabot, nous partageons nos analyses sur le fonctionnement de ce logiciel malveillant à la location, couvrant les fonctionnalités de ses dernières versions, le modèle économique des auteurs et un aperçu des outils proposés aux affiliés. Outre l’exfiltration de données sensibles, nous avons observé que Danabot est également utilisé pour diffuser d’autres logiciels malveillants, y compris des ransomwares sur des systèmes déjà compromis », explique Tomáš Procházka, chercheur chez ESET qui a enquêté sur Danabot.
Les créateurs de Danabot opèrent selon un modèle de malware-as-a-service, louant leur outil à des affiliés qui créent et gèrent leurs propres botnets. Danabot peut voler des données depuis les navigateurs, clients de messagerie et logiciels FTP, enregistrer les frappes clavier et captures d’écran, prendre le contrôle à distance des systèmes infectés, extraire des fichiers (notamment les portefeuilles de cryptomonnaies) et injecter du code malveillant dans les pages web. Au-delà du vol de données, ESET a observé que Danabot sert également de vecteur pour distribuer d’autres malwares, y compris des ransomwares.
En plus de la cybercriminalité typique, Danabot a également été utilisé pour des activités moins conventionnelles, telles que l’utilisation de machines compromises pour lancer des attaques DDoS, par exemple, une attaque DDoS contre le ministère ukrainien de la Défense peu après l’invasion russe de l’Ukraine. D’après la surveillance d’ESET, Danabot est devenu un outil de choix pour de nombreux cybercriminels, ses développeurs collaborant même avec d’autres créateurs de malwares pour proposer des forfaits de distribution.
Récemment, l’utilisation abusive de Google Ads s’est imposée comme principal vecteur de diffusion, via de faux sites logiciels ou des plateformes promettant frauduleusement d’aider les utilisateurs à récupérer des fonds non réclamés. Les dernières techniques incluent des sites trompeurs qui proposent des solutions à de faux problèmes informatiques, incitant les victimes à exécuter des commandes malveillantes insérées dans leur presse-papiers.
L’arsenal d’outils standard que les créateurs de Danabot mettent à disposition de leurs affiliés comprend une interface d’administration, un proxy permettant le contrôle des machines infectées en temps réel, ainsi qu’une application serveur proxy qui fait transiter les communications entre les bots et le véritable serveur de commande et contrôle. Les affiliés ont le choix entre différentes options pour créer de nouvelles variantes de Danabot qu’ils sont chargés de les diffuser via leurs propres campagnes malveillantes.
« L’avenir de Danabot après cette neutralisation reste incertain. Cette opération aura assurément des conséquences durables, les forces de l’ordre ayant réussi à démasquer plusieurs responsables des activités liées à ce malware », conclut Procházka.
Pour une analyse complète de Danabot, consultez l’article de blog d’ESET Research : « Danabot : Analyse d’un empire déchu sur WeLiveSecurity.com.
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
