Шпион и вор в одном EXE — разработчики DanaBot пойманы по своим же логам

В США предъявлены обвинения 16 фигурантам дела о вредоносной программе DanaBot — одной из самых устойчивых и широко распространённых инфостилер-платформ, появившейся ещё в 2018 году. По данным ФБР, вторая версия программы использовалась не только для кражи данных, но и для кибер шпионажа . Примечательно, что многие обвиняемые сами же себя и выдали — заразив собственные компьютеры вредоносом и тем самым оставив цифровой след.

Изначально DanaBot была замечена в мае 2018 года. Она продавалась по модели Malware-as-a-Service (MaaS) и специализировалась на хищении учётных данных, а также банковском мошенничестве. Согласно материалам дела, доступ к платформе обходился афилированным киберпреступникам в сумму от 3 до 4 тысяч долларов в месяц. К 2022 году таких пользователей насчитывалось не менее 40.

По оценке американских властей, вирус заразил более 300 тысяч устройств по всему миру и нанёс ущерб свыше 50 миллионов долларов. Главными организаторами схемы названы «JimmBee» и «Onix». «Onix», как указано в документах, работает IT-инженером. В соцсетях он появлялся под псевдонимом «Maffiozi».

Следствие установило наличие двух ключевых версий вредоносной программы. Первая распространялась до июня 2020 года и была ориентирована на финансовые преступления. Вторая, появившаяся в январе 2021 года, уже применялась в рамках целенаправленного шпионажа — заражались компьютеры государственных структур, дипломатических ведомств и НКО в США, Великобритании, Германии и Беларуси.

В обвинительном заключении утверждается, что использовалась специально модифицированная шпионская версия, позволявшая перехватывать дипломатическую переписку, финансовые операции сотрудников посольств и сведения о взаимодействиях между государствами. В некоторых случаях вредонос загружал на серверы файлы, содержащие резюме диалогов между дипломатами по линии США.

В 2022 году ФБР удалось конфисковать управляющие серверы DanaBot, а также хранилища, где находились украденные данные. В этих хранилищах аналитики обнаружили и случайно загруженные личные файлы самих злоумышленников — в ряде случаев заражения происходили по ошибке, в других — осознанно, в целях тестирования или отладки вируса.

Как говорится в заявлении Министерства юстиции США, операция сопровождалась арестом управляющих серверов в том числе и на территории США — речь идёт о десятках виртуальных машин. Пострадавшим организациям и пользователям сейчас направляются уведомления, а правительство совместно с технологическими компаниями оказывает поддержку в ликвидации последствий.

Примечательно, что публичное предъявление обвинений фигурантам дела о DanaBot произошло сразу после того, как Microsoft объявила об успешном вмешательстве в инфраструктуру другого вредоноса — Lumma Stealer. Этот малварь также распространялся по модели подписки, от $250 до $1 000 в месяц. Корпорация также инициировала гражданский иск о передаче под её контроль более 2 300 доменов, которые использовались злоумышленниками для управления вредоносом.