Его считали побеждённым. DanaBot возвращается спустя полгода затишья

leer en español

DanaBot Zscaler ThreatLabz Proofpoint Operation Endgame Windows троян
Его считали побеждённым. DanaBot возвращается спустя полгода затишья
DanaBot Zscaler ThreatLabz Proofpoint Operation Endgame Windows троян

Почему международная спецоперация не принесла ожидаемого результата?

image

Возвращение вредоносного ПО DanaBot после длительного перерыва оказалось неожиданным для отрасли: после почти полугодовой паузы, связанной с международной операцией силовых структур, в сети начали фиксировать новую волну атак. Перерыв, вызванный изъятием серверов и обвинениями в отношении причастных к инфраструктуре, не остановил создателей трояна — они смогли восстановить сервис и вернуть активность на прежний уровень.

Специалисты Zscaler ThreatLabz сообщили о появлении версии 669, в которой обновлена командная схема и задействованы адреса в сети Tor, а также «backconnect»-узлы для удалённого взаимодействия с заражёнными системами. Команда также обнаружила криптокошельки, куда операторов направляют похищенные активы в BTC, ETH, LTC и TRX.

По данным Zscaler, обновлённое семейство снова распространяется привычными способами — через сообщения с вредоносными вложениями или ссылками, поддельные рекламные объявления и поисковую выдачу, подменённую злоумышленниками. Отдельные цепочки заражений приводили к установке программ для шифрования данных.

DanaBot впервые стал известен после публикации Proofpoint, где его описывали как троян на Delphi, распространявшийся через рассылки и вредоносные рекламные объявления. Он работал по модели сервисного распространения и сдавался в аренду разным группам.

Со временем функциональность расширилась — инструмент превратился в набор модулей для удалённой загрузки вредоносного кода, сбора учётных данных и кражи содержимого криптовалютных кошельков, хранящихся в браузерах. За последние годы этот инструмент появлялся в многочисленных кампаниях разного масштаба и оставался стабильной угрозой для пользователей.

Весной текущего года международные правоохранительные структуры провели операцию, получившую название Operation Endgame, в рамках которой была выведена из строя инфраструктура Danabot и объявлены обвинения против причастных лиц. Это заметно снизило активность, однако ключевые участники ускользнули от задержания, что позволило им вновь развернуть управляющую систему.

Пока Danabot отсутствовал, посредники, обеспечивавшие первоначальный доступ к сетям компаний, переключились на другие инструменты, но возвращение обновлённой версии показало, что финансовая мотивация продолжает подталкивать злоумышленников к восстановлению старых платформ.

Согласно данным Zscaler, для снижения рисков организациям стоит добавить свежие индикаторы компрометации в свои списки блокировок и своевременно обновлять инструменты защиты, чтобы пресекать попытки заражений.