22 мая 2025 года международные правоохранительные органы объявили о новых результатах операции Endgame, направленной на борьбу с организованной киберпреступностью. В рамках этой масштабной кампании, начатой в мае 2024 года, были нейтрализованы такие вредоносные программы, как SmokeLoader, IcedID, SystemBC, Pikabot и Bumblebee. Теперь под прицел попал банковский троян DanaBot, который эксперты Zscaler ThreatLabz отслеживают на протяжении нескольких лет.
Описание
DanaBot представляет собой сложную модульную вредоносную программу, разработанную на языке Delphi. С момента своего появления в 2018 году этот троян зарекомендовал себя как многофункциональный инструмент, используемый как для финансового мошенничества, так и для целенаправленных шпионских операций. Особую опасность представляет бизнес-модель его распространения - злоумышленники предлагают DanaBot в аренду по схеме Malware-as-a-Service, что делает его доступным для широкого круга преступников.
Технические возможности DanaBot поражают своим масштабом. Троян способен перехватывать вводимую с клавиатуры информацию, делать скриншоты экрана и даже записывать действия пользователя в видеоформате. Особую угрозу представляют функции по хищению данных из браузеров и подмене содержимого веб-страниц, что активно используется для банковского мошенничества. Кроме того, программа может загружать дополнительное вредоносное ПО, включая опасные ransomware-программы.
В последние годы DanaBot стал инструментом не только киберпреступников, но и участников геополитических конфликтов. В 2022 году были зафиксированы случаи использования этого трояна для организации DDoS-атак против украинских государственных ресурсов, включая серверы Министерства обороны.
С технической точки зрения DanaBot демонстрирует высокий уровень защиты передаваемых данных. Программа использует мощное 1024-битное RSA-шифрование в сочетании с 256-битным AES-алгоритмом для защиты коммуникаций с командными серверами. В качестве резервного канала связи предусмотрено использование сети Tor.
Разработчики DanaBot постоянно совершенствуют свое творение. Специалисты Zscaler ThreatLabz отмечают регулярные обновления вредоноса - только за последние месяцы было зафиксировано несколько новых версий. Последняя известная сборка под номером 4006 датируется мартом 2025 года.
Новые успехи операции Endgame демонстрируют эффективность международного сотрудничества в борьбе с киберпреступностью. Однако эксперты предупреждают, что угроза DanaBot и подобных ему сложных вредоносных программ сохраняется. Организациям рекомендуется уделять особое внимание защите конечных точек, внедрять системы многофакторной аутентификации и своевременно обновлять программное обеспечение.
Индикаторы компрометации
IPv4
- 149.28.127.237
- 149.28.241.120
- 77.239.101.139
- 77.239.99.248
- 77.91.76.17
- 91.243.50.68
Onion Domains
- y3wg3owz34ybihfulzr4blznkb6g6zf2eeuffhqrdvwdp43xszjknwad.onion
SHA256
- 2f8e0fc38eaf08a69653f40867dcd4cc951a10cd92b8168898b9aa45ba18a5c8
- 75ff0334d46f9b7737e95ac1edcc79d956417b056154c23fad8480ec0829b079
- 871862d1117fd7d2df907406a3ce08555196800b0ef9901dd4c46f82b728263d
- e2c228d0bf460f25b39dd60f871f59ea5ef671b8a2f4879d09abae7a9d4d49fb
