14/11/25
Возвращение вредоносного ПО DanaBot после длительного перерыва оказалось неожиданным для отрасли: после почти полугодовой паузы, связанной с международной операцией силовых структур, в сети началась новая волна атак. Перерыв, вызванный изъятием серверов и обвинениями в отношении причастных к инфраструктуре, не остановил создателей трояна, пишет Securitylab.
Специалисты Zscaler ThreatLabz сообщили о появлении версии 669, в которой обновлена командная схема и задействованы адреса в сети Tor, а также «backconnect»-узлы для удалённого взаимодействия с заражёнными системами. Команда также обнаружила криптокошельки, куда операторов направляют похищенные активы в BTC, ETH, LTC и TRX.
По данным Zscaler, обновлённое семейство снова распространяется привычными способами — через сообщения с вредоносными вложениями или ссылками, поддельные рекламные объявления и поисковую выдачу, подменённую злоумышленниками. Отдельные цепочки заражений приводили к установке программ для шифрования данных.
DanaBot впервые стал известен после публикации Proofpoint, где его описывали как троян на Delphi, распространявшийся через рассылки и вредоносные рекламные объявления. Он работал по модели сервисного распространения и сдавался в аренду разным группам.
Со временем функциональность расширилась — инструмент превратился в набор модулей для удалённой загрузки вредоносного кода, сбора учётных данных и кражи содержимого криптовалютных кошельков, хранящихся в браузерах. За последние годы этот инструмент появлялся в многочисленных кампаниях разного масштаба и оставался стабильной угрозой для пользователей.
Весной текущего года международные правоохранительные структуры провели операцию, получившую название Operation Endgame, в рамках которой была выведена из строя инфраструктура Danabot и объявлены обвинения против причастных лиц. Это заметно снизило активность, однако ключевые участники ускользнули от задержания, что позволило им вновь развернуть управляющую систему.
Пока Danabot отсутствовал, посредники, обеспечивавшие первоначальный доступ к сетям компаний, переключились на другие инструменты, но возвращение обновлённой версии показало, что финансовая мотивация продолжает подталкивать злоумышленников к восстановлению старых платформ.
Согласно данным Zscaler, для снижения рисков организациям стоит добавить свежие индикаторы компрометации в свои списки блокировок и своевременно обновлять инструменты защиты, чтобы пресекать попытки заражений.
