Las autoridades estadounidenses, incluyendo el Departamento de Justicia de EE. UU., han logrado interrumpir la infraestructura del infostealer Danabot, una amenaza cibernética significativa. El FBI y el Servicio de Investigación Criminal de Defensa (DCIS) del Departamento de Defensa, contaron con la colaboración de varias compañías de ciberseguridad, entre ellas ESET. Este esfuerzo conjunto se remonta a 2018 e incluyó el análisis técnico del malware, la identificación de sus servidores de comando y control (C&C), y la revelación de las identidades de los individuos que desarrollaban y administraban Danabot.
La operación se llevó a cabo en el marco de la «Operación Endgame», una iniciativa global coordinada por Europol y Eurojust, destinada a identificar y desmantelar redes de criminales cibernéticos. La acción ha permitido la eliminación de la infraestructura crítica que utilizaba el malware para desplegar ransomware a través de software malicioso.
Desde su interrupción, ESET ha aprovechado para compartir información sobre cómo opera Danabot, considerado un servicio de malware (MaaS). Este infostealer, que ha estado activo desde 2018, no solo roba datos sensibles, sino que también sirve para desplegar otros tipos de malware, incluyendo ransomware, en sistemas ya comprometidos.
Los autores de Danabot ofrecen su herramienta en foros clandestinos, permitiendo a los afiliados rentar sus herramientas y gestionar sus propias operaciones delictivas. Entre las funcionalidades más destacadas del malware se encuentran el robo de información de navegadores, la captura de pulsaciones de teclas y la grabación de pantalla. Danabot también permite la ejecución remota y la carga de otros payloads maliciosos.
La investigación de ESET ha revelado que Danabot se ha utilizado en diversos ataques a nivel global, siendo Polonia uno de los países más afectados. Además de operaciones de cibercrimen convencionales, el infostealer fue empleado en ataques DDoS, incluyendo un notable ataque contra el Ministerio de Defensa de Ucrania durante la invasión rusa.
El grupo detrás de Danabot ha modelado su infraestructura para permitir a los afiliados crear y distribuir variantes del malware utilizando una serie de herramientas que incluye un panel de administración, una aplicación de backconnect y un servidor proxy. Esto les permite operar de manera más anónima y eficiente. La disruptora operación destaca la importancia de la colaboración internacional en la lucha contra el cibercrimen, brindando un golpe significativo a esta red delictiva y ayudando a desmantelar su operativa en el entorno digital.
Fuente: WeLiveSecurity by eSet.
