En una importante operación internacional, las autoridades estadounidenses, alemanas, holandesas y australianas, junto con la empresa de ciberseguridad ESET, lograron desmantelar la infraestructura del peligroso malware conocido como Danabot. Este infostealer, capaz de robar información confidencial de las víctimas, había afectado a diversos países, siendo Perú, Argentina, Chile y México los más atacados en Latinoamérica.
Cómo Operaba el Grupo Danabot
Danabot funcionaba como un servicio de malware, donde los cibercriminales ofrecían acceso a la herramienta a terceros a cambio de una suscripción. Estos afiliados luego utilizaban Danabot para sus propios fines maliciosos, estableciendo y gestionando sus propias redes de bots.
Según el investigador de ESET, Tomáš Procházka, Danabot contaba con una gran variedad de funciones para ayudar a sus clientes, entre las que se destacaban:
- Robo de datos de navegadores, clientes de correo, FTP y otros programas populares
- Registro de pulsaciones de teclado y grabación de pantalla
- Control remoto en tiempo real de los sistemas de las víctimas
- Captura de archivos, incluyendo carteras de criptomonedas
- Compatibilidad con inyecciones web tipo Zeus y captura de formularios
Además de estas capacidades de robo de información, Danabot también se utilizó para distribuir otros tipos de malware, como ransomware, a los sistemas ya comprometidos.
Desmantelamiento de la Infraestructura de Danabot
La operación de desmantelamiento de Danabot fue liderada por el Departamento de Justicia de EE.UU., el FBI y el Servicio de Investigación Criminal de Defensa del Departamento de Defensa de EE.UU. Estas agencias colaboraron estrechamente con autoridades de Alemania, Países Bajos y Australia, así como con empresas de seguridad como ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru y Zscaler.
Dado que Danabot ha sido desbaratado en gran medida, aprovechamos para compartir nuestros conocimientos sobre el funcionamiento de esta operación de «malware como servicio»
, afirmó Tomáš Procházka, investigador de ESET.
La investigación permitió identificar a los individuos responsables del desarrollo, venta y administración de Danabot, lo que representa un duro golpe para este grupo de cibercriminales. Sin embargo, aún queda por ver si podrán recuperarse de este desmantelamiento.
Métodos de Distribución de Danabot
ESET identificó diversos métodos utilizados por los autores de Danabot para distribuir el malware, entre los que se destacan:
- Uso indebido de anuncios de Google para mostrar sitios web maliciosos entre los resultados de búsqueda patrocinados
- Empaquetado del malware con software legítimo y distribución a través de sitios web falsos o que prometen ayudar a encontrar fondos no reclamados
- Creación de sitios web engañosos que ofrecen soluciones a problemas informáticos inventados, con el objetivo de atraer a las víctimas y ejecutar comandos maliciosos
Estos métodos de ingeniería social fueron utilizados por los cibercriminales para atraer a las víctimas y lograr la infección de sus sistemas con Danabot.
Conclusión
El desmantelamiento de la infraestructura de Danabot representa un importante golpe para este grupo de cibercriminales que operaba a nivel global. Sin embargo, aún queda por ver si podrán recuperarse de este revés y continuar con sus actividades maliciosas.
ESET invita a los usuarios a mantenerse informados sobre las últimas amenazas cibernéticas a través de su podcast Conexión Segura, disponible en Spotify.
