ESET, una empresa destacada en la detección proactiva de amenazas, estuvo involucrada en una significativa operación que desmanteló la infraestructura del infostealer conocido como Danabot, llevado a cabo por el Departamento de Justicia de EE.UU., el FBI y el Servicio de Investigación Criminal de Defensa del Departamento de Defensa de EE.UU. Estas agencias trabajaron en conjunto con la Bundeskriminalamt de Alemania, la Policía Nacional de los Países Bajos y la Policía Federal de Australia. ESET se unió al esfuerzo, junto a Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru y Zscaler.
“Con el desmantelamiento de Danabot, aprovechamos la oportunidad para compartir nuestro conocimiento sobre la operación de este ‘malware como servicio’, identificando las características de las últimas versiones, el modelo de negocio de sus creadores y una visión general de las herramientas ofrecidas a los afiliados. Además de la filtración de datos sensibles, Danabot también se utilizó para desplegar otros tipos de malware, como ransomware, en sistemas previamente comprometidos”, comenta Tomáš Procházka, investigador de ESET.
Los creadores de Danabot operan como un grupo unificado que alquila su herramienta a afiliados, quienes la utilizan para sus fines maliciosos, configurando y controlando sus propias redes de bots. Han desarrollado una variedad de funcionalidades para facilitar las actividades de sus clientes, siendo las más destacadas: la capacidad de robar datos de navegadores, clientes de correo y otros programas; registrar pulsaciones de teclado; grabar pantalla; administrar de manera remota los sistemas de las víctimas; y capturar archivos, frecuentemente utilizados para robar criptomonedas. También se identificaron cargas útiles distribuidas mediante Danabot con el propósito de instalar ransomware en sistemas ya afectados.
Este malware también fue utilizado en acciones menos convencionales, como emplear máquinas infectadas para llevar a cabo ataques DDoS, entre ellos un ataque al Ministerio de Defensa de Ucrania tras la invasión rusa. A lo largo de su trayectoria, Danabot fue seleccionado por numerosos ciberdelincuentes, cada uno implementándolo de diversas formas. Los desarrolladores incluso se aliaron con creadores de criptadores y otros tipos de malware, ofreciendo paquetes de distribución a precios especiales a sus clientes.
Uno de los métodos más destacados para distribuir Danabot, identificado por ESET, fue el mal uso de los anuncios de Google para promover sitios aparentemente legítimos, pero en realidad maliciosos, en los resultados de búsqueda patrocinados. La táctica más común consiste en empaquetar el malware con software legítimo y promocionarlo en sitios falsos que prometen ayudar a los usuarios a encontrar fondos no reclamados. Nuevas tácticas de ingeniería social incluyen sitios web engañosos que ofrecen soluciones a problemas informáticos ficticios, con el único objetivo de atraer a las víctimas a ejecutar comandos maliciosos de manera oculta.
El kit de herramientas típico que los creadores de Danabot ofrecen a sus afiliados incluye una aplicación de panel de control, una herramienta para controlar en tiempo real los bots, y una aplicación de servidor proxy que gestiona la comunicación entre los bots y el servidor de comando y control real. Los afiliados tienen opciones para generar nuevas versiones del malware, siendo su responsabilidad distribuirlas a través de sus propias campañas.
El equipo de investigación de ESET, que ha estado monitoreando a Danabot desde 2018, contribuyó con análisis técnicos del malware y su infraestructura, además de identificar los servidores anfitriones. Durante este tiempo, se registraron diversas campañas en todo el mundo, destacando Polonia, Italia, España y Turquía como los países más afectados. El esfuerzo conjunto para desmantelar la operación también llevó a la identificación de individuos responsables del desarrollo y administración de Danabot.
“Aún está por verse si Danabot podrá recuperarse tras su desmantelamiento. Sin embargo, el impacto se siente, dado que las autoridades han logrado identificar a varios individuos implicados en estas operaciones maliciosas”, concluye Procházka.
Para un análisis técnico más detallado sobre el funcionamiento de Danabot, visite “Danabot: Analizando un imperio caído” en WeLiveSecurity.com.
The post Desmantelan el grupo Danabot que robaba información a nivel global, con Perú, Argentina, Chile y México como los países más atacados en Latinoamérica appeared first on Osorno en la Red.
Con Información de osornoenlared.cl
