Компанія ESET — лідер у галузі інформаційної безпеки — взяла участь у знешкодженні інфраструктури загрози Danabot для викрадення інформації. Операція здійснювалася Міністерством юстиції США, ФБР та Міністерством оборони США у співпраці з правоохоронними органами Німеччини, Нідерландів, Австралії.
Окрім функціоналу викрадення даних, загроза використовувалася для поширення програм-вимагачів, а також DDoS-атаки на Міністерство оборони України одразу ж після початку російського повномасштабного вторгнення в Україну.
Компанія ESET взяла участь у цій операції разом з Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru та Zscaler. Дослідники ESET, які відстежували Danabot з 2018 року, надали технічний аналіз шкідливого програмного забезпечення та його внутрішньої інфраструктури, а також ідентифікацію командних (C&C) серверів Danabot. Протягом цього періоду спеціалісти ESET проаналізували різну активність Danabot у всьому світі. Спільні зусилля з викриття також призвели до ідентифікації осіб, відповідальних за розробку, продаж, адміністрування Danabot тощо.
Зловмисники Danabot діють як єдина група, пропонуючи свої інструменти як послугу іншим кіберзлочинцям, які використовують їх в своїх зловмисних цілях. До функцій, які пропонує шкідлива програма, входять:
- можливість крадіжки різних даних з браузерів, поштових клієнтів, FTP-клієнтів та іншого популярного програмного забезпечення;
- запис натиснень клавіатури і екрану;
- віддалене управління системами користувачів у режимі реального часу;
- перехоплення файлів.
Окрім використання можливостей для крадіжки, дослідники ESET фіксували, як протягом багатьох років через Danabot розповсюджувалося різне шкідливе програмне забезпечення. Крім цього, спеціалісти ESET виявили випадки використання Danabot для завантаження програм-вимагачів у вже скомпрометовані системи.
На додаток до цих видів кіберзлочинності, Danabot також використовувався для запуску DDoS-атак із залученням скомпрометованих комп’ютерів, наприклад, DDoS-атаки на Міністерство оборони України одразу ж після початку повномасштабного російського вторгнення в Україну.
Останнім часом серед усіх механізмів розповсюдження Danabot, які виявляли дослідники ESET, найпоширенішим було несанкціоноване використання Google Ads для показу шкідливих вебсайтів у результатах пошуку Google. Найпопулярнішим прийомом є поєднання шкідливого з легальним програмним забезпеченням для подальшого поширення через підроблені ресурси.
Доповненням до цих методів соціальної інженерії стали оманливі вебсайти, які пропонують рішення для фальшивих комп’ютерних проблем, єдиною метою яких є заманювання жертв виконати шкідливу команду, таємно додану в буфер обміну користувача.
«Поки що невідомо, чи зможе Danabot відновитися від цієї ліквідації. Однак знешкодження, безумовно, буде відчутно, оскільки правоохоронцям вдалося викрити кількох осіб, причетних до діяльності шкідливого програмного забезпечення», – підсумовує Томаш Прохазка, дослідник ESET.
Більш детальну інформацію про роботу та технічний огляд Danabot читайте за посиланням.
