Як ESET допомогла знешкодити небезпечну кіберзагрозу Danabot

Масштабна міжнародна операція

Компанія ESET, один із провідних світових розробників рішень у сфері кібербезпеки, стала частиною міжнародної операції, спрямованої на знешкодження кіберзагрози Danabot. Ця операція проводилась під керівництвом Міністерства юстиції США та за участі ФБР, Міністерства оборони США, а також правоохоронців з Німеччини, Нідерландів та Австралії.

Що таке Danabot?

Danabot — це потужне шкідливе програмне забезпечення, яке з 2018 року активно використовувалося кіберзлочинцями для крадіжки конфіденційних даних, зокрема з браузерів, електронної пошти, FTP-клієнтів та інших застосунків. До його функціоналу також входили:

• Кейлогінг (запис натискань клавіш);
• Спостереження за екраном користувача;
• Віддалене управління зараженими пристроями;
• Викрадення файлів.

Зловмисники також застосовували Danabot як платформу для розповсюдження інших типів шкідливого ПЗ, включно з програмами-вимагачами. Один із задокументованих випадків — DDoS-атака на Міністерство оборони України на початку повномасштабного вторгнення РФ у 2022 році.

Участь ESET у викритті

Фахівці ESET, які моніторили активність Danabot протягом останніх шести років, надали критично важливу технічну інформацію про інфраструктуру загрози. Зокрема, вони проаналізували внутрішню архітектуру шкідника, виявили командні сервери управління (C&C) та ідентифікували особливості його поширення.

Компанія ESET долучилась до зусиль разом із такими гравцями як Amazon, Google, CrowdStrike, Flashpoint, Intel471, PayPal, Proofpoint, Team Cymru та Zscaler. Ця кооперація дозволила встановити не лише технічні деталі роботи Danabot, а й допомогла ідентифікувати окремих учасників, відповідальних за розробку та адміністрування шкідливого інструменту.

Методи поширення: фальшиві оголошення й соціальна інженерія

За останній час однією з найпоширеніших технік розповсюдження Danabot було зловживання Google Ads. Кіберзлочинці створювали фальшиві рекламні оголошення, які вели на шкідливі сайти, маскуючи їх під легітимні ресурси. Часто використовувався метод об’єднання легального програмного забезпечення з шкідливим для підвищення довіри користувачів.

Ще одним підходом стали підроблені сайти, що пропонували "виправлення" неіснуючих проблем з комп’ютером. Мета цих ресурсів — змусити користувача несвідомо виконати шкідливу команду, зазвичай скопійовану з буфера обміну.

Чи буде продовження?

Наразі невідомо, чи зможе інфраструктура Danabot відновитися після операції, однак, як відзначив дослідник ESET Томаш Прохазка, удар по діяльності групи є серйозним. Виявлення окремих осіб, які стояли за цим зловмисним ПЗ, істотно ускладнить спроби відновлення їх операцій у майбутньому.

Висновок

У світі, де кіберзагрози постійно ускладнюються, важливо мати надійний захист своїх пристроїв. Продукти ESET забезпечують ефективний захист від вірусів, шкідливих програм і кібератак, допомагаючи зберегти ваші дані в безпеці.

Офіційні ліцензії ESET ви можете придбати у нас за посиланням.

Джерело