Le malware DanaBot est de retour avec une nouvelle version observée dans les attaques, six mois après que l’opération Endgame des forces de l’ordre a perturbé son activité en mai.
Selon les chercheurs en sécurité de Zscaler ThreatLabz, il existe une nouvelle variante de DanaBot, la version 669, qui dispose d’une infrastructure de commandement et de contrôle (C2) utilisant des domaines Tor (.oignon) et” reconnecter » les nœuds.
Zscaler a également identifié et répertorié plusieurs adresses de crypto-monnaie que les acteurs de la menace utilisent pour recevoir des fonds volés, en BTC, ETH, LTC et TRX.
DanaBot a d’abord été révélé par les chercheurs de Proofpoint comme un cheval de Troie bancaire basé sur Delphi livré par courrier électronique et publicité malveillante.
Il fonctionnait selon un modèle de logiciel malveillant en tant que service (MaaS), loué à des cybercriminels moyennant des frais d’abonnement.
Dans les années qui ont suivi, le malware a évolué pour devenir un voleur et un chargeur d’informations modulaires, ciblant les informations d’identification et les données de portefeuille de crypto-monnaie stockées dans les navigateurs Web.
Le malware a été utilisé dans de nombreuses campagnes, dont certaines à grande échelle, et est réapparu occasionnellement à partir de 2021, restant une menace constante pour les internautes.
En mai de cette année, un effort international d’application de la loi baptisé « Opération Endgame » a perturbé l’infrastructure de Danabot et annoncé des inculpations et des saisies, ce qui a considérablement dégradé ses opérations.
Cependant, selon Zscaler, Danabot est à nouveau actif, avec une infrastructure reconstruite. Alors que l’opération Danabot était en panne, de nombreux courtiers en accès initial (IAB) se sont tournés vers d’autres logiciels malveillants.
Le resurfaçage de DanaBot montre que les cybercriminels sont résilients dans leur activité tant qu’il y a une incitation financière, malgré une interruption de plusieurs mois, en particulier lorsque les principaux opérateurs ne sont pas arrêtés.
Les méthodes d’accès initiales typiques observées dans les infections DanaBot incluent les courriels malveillants (via des liens ou des pièces jointes), l’empoisonnement SEO et les campagnes de publicité malveillante, dont certaines ont conduit à un ransomware.
Les organisations peuvent se défendre contre les attaques DanaBot en ajoutant à leurs listes de blocage les nouveaux indicateurs de compromission (IOC) de Zscaler et en mettant à jour leurs outils de sécurité.