Groźny trojan Danabot zniszczony. Ponad 60% globalnych wykryć ataków dotyczyła Polski!

ESET wziął udział w ważnej operacji mającej na celu zakłócenie infrastruktury trojana Danabot, który w ostatnich latach stał się narzędziem cyberprzestępców do ataków na całym świecie.

Choć Danabot został pierwotnie stworzony jako infostealer, jak pokazują analizy ESET, był również wykorzystywany do dystrybucji dodatkowego malware, w tym ransomware. Aż ponad 60% ataków z wykorzystaniem Danabota skierowane było na Polskę. Użytkownicy z kolejnych w zestawieniu krajów, czyli Włoch, Hiszpanii i Turcji stanowili zaledwie 3-4% globalnych ataków.

Globalna operacja z udziałem amerykańskich służb

Operacja zakłócająca infrastrukturę trojana kradnącego dane – Danabot – przeprowadzona została przez Departament Sprawiedliwości USA, FBI oraz Służbę Dochodzeniową Departamentu Obrony USA. Amerykańskie agencje ściśle współpracowały z niemieckim Bundeskriminalamt, Holenderską Policją Narodową oraz Australijską Policją Federalną. W operację zaangażowane były również firmy takie jak ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru i Zscaler. Wspólna akcja doprowadziła również do identyfikacji osób odpowiedzialnych za rozwój, sprzedaż, administrację Danabota i inne działania z nim związane.

Zespół ESET Research, który śledzi działalność Danabota od 2018 roku, wniósł istotny wkład w unieszkodliwienie trojana, dostarczając analizę techniczną złośliwego oprogramowania i jego infrastruktury na całym świecie.

Działalność Danabota została w dużej mierze zakłócona, stąd wykorzystujemy tę okazję, aby podzielić się naszymi spostrzeżeniami na temat działania tego modelu malware-as-a-service. Oprócz wykradania wrażliwych danych, zaobserwowaliśmy również, że Danabot jest wykorzystywany do dostarczania dodatkowego złośliwego oprogramowania – w tym ransomware – do już zainfekowanych systemów

Tomáš Procházka

badacz z ESET, który zajmował się analizą Danabota

Polska stała się absolutnym priorytetem cyberprzestępców wykorzystujących Danabot – wykrycia w naszym kraju stanowią niemal 63% globalnych wykryć, podczas gdy następne obiekty ataków to Włochy (4%), Hiszpania (3,5%), Turcja (3%) oraz Peru (1,5%).

Wykrycia Danabota na całym świecie według danych telemetrycznych ESET od 2018 roku

Modus operandi, czyli przyglądamy się działaniu

Autorzy Danabota działają jako jedna zorganizowana grupa, oferując swoje narzędzie potencjalnym partnerom, którzy następnie wykorzystują je do własnych celów, tworząc i zarządzając własnymi botnetami.

Twórcy Danabota opracowali szeroki wachlarz funkcji wspierających użytkowników w ich przestępczej działalności. Do najważniejszych funkcji oferowanych przez Danabota należą: kradzież różnorodnych danych z przeglądarek, klientów poczty, klientów FTP oraz innych popularnych aplikacji, keylogging i nagrywanie ekranu, zdalne sterowanie systemem ofiary w czasie rzeczywistym, kradzież plików (często wykorzystywane do kradzieży portfeli kryptowalut) czy przechwytywanie danych z formularzy. Ważnym aspektem działania Danabota jest również możliwość przesyłania i uruchamiania dowolnych innych złośliwych kodów.

Poza funkcjami kradzieży danych, zespół ESET Research zaobserwował, że na przestrzeni lat za pośrednictwem Danabota dystrybuowano przeróżne złośliwe oprogramowanie, jak: SystemBC, Rescoms, Ursnif, Smokeloader, Zloader, Lumma Stealer, RecordBreaker, Latrodectus oraz narzędzie do zdalnej administracji NetSupport Manager. Co więcej, ESET odnotował przypadki wykorzystania Danabota do pobierania ransomware na już zainfekowane systemy. Obok typowej działalności cyberprzestępczej, Danabot był również wykorzystywany w mniej konwencjonalnych działaniach, takich jak użycie przejętych urządzeń do przeprowadzania ataków DDoS — na przykład ataku na ukraińskie Ministerstwo Obrony, przeprowadzonego wkrótce po inwazji Rosji na Ukrainę.

Screen strony internetowej pokazujący proponowane przez twórców Danabota funkcje

Dystrybucja, czyli jak docierano do ofiar

Na przestrzeni lat analitycy ESET zaobserwowali wiele różnych metod dystrybucji wykorzystywanych przez partnerów Danabota, w tym: liczne warianty kampanii spamowych e-mail, inne złośliwe oprogramowanie, takie jak Smokeloader, DarkGate i Matanbuchus oraz wykorzystywanie reklam Google Ads.
Właśnie ostatni sposób dystrybucji zwraca szczególną uwagę – w ramach reklam wyświetlano pozornie trafne, lecz w rzeczywistości złośliwe strony internetowe wśród linków sponsorowanych w wynikach wyszukiwania Google. Często stosowaną sztuczką było dołączanie złośliwego oprogramowania do legalnego oprogramowania i oferowanie takiego pakietu na fałszywych stronach z oprogramowaniem lub witrynach np. przypominających o rzekomej możliwości odbioru środków finansowych. Innym razem cyberprzestępcy docierali do ofiar, wykorzystując spreparowane strony internetowe proponujące konkretne czynności mające na celu rozwiązać nieistniejące problemy z komputerem.

Przyjrzyjmy się strukturze

Infrastruktura Danabota opiera się na kilku kluczowych komponentach. Podstawowym elementem jest oprogramowanie serwera C&C (Command & Control), które występuje w postaci pliku DLL i pełni rolę „mózgu” botnetu. Instalowane jest na serwerze z systemem Windows i wykorzystuje bazę danych MySQL do przechowywania informacji. To do niego łączą się zainfekowane komputery (boty), przesyłając wykradzione dane i odbierając polecenia od operatora botnetu. Afilianci mogą korzystać z tego serwera za pomocą specjalnego panelu, który umożliwia zarządzanie botami, konfigurację poleceń, podgląd i eksport danych ofiar, generowanie nowych wersji Danabota, ustawianie alertów oraz konfigurowanie komunikacji z botami przez serwery proxy.

Dodatkowo, afilianci mają do dyspozycji narzędzie backconnect, czyli oddzielną aplikację, która pozwala im łączyć się z aktywnymi botami w celu ich zdalnego sterowania. Najciekawsze funkcje tego narzędzia to możliwość zdalnego pulpitu oraz przeglądanie struktury plików ofiary.

Aby ukryć lokalizację głównego serwera C&C i zwiększyć anonimowość działań, Danabot wykorzystuje dodatkowy komponent – serwer proxy. W sytuacjach, gdy wszystkie serwery proxy są niedostępne, możliwa jest również komunikacja przez sieć Tor – do tego celu służy specjalny moduł, który może zostać pobrany i zainstalowany.

Po połączeniu wszystkich tych elementów powstaje elastyczna i trudna do namierzenia infrastruktura botnetu, która może być łatwo zarządzana przez przestępców i dostosowywana do różnych scenariuszy ataku.