DanaBotマルウェアは、法執行機関による「Operation Endgame」が5月にその活動を妨害してから6か月後、新たなバージョンが攻撃で観測され、再び姿を現しました。
Zscaler ThreatLabzのセキュリティ研究者によると、新たなDanaBotの亜種であるバージョン669が確認されており、Torドメイン(.onion)と「バックコネクト」ノードを用いたコマンド&コントロール(C2)インフラを備えています。
Zscalerはまた、攻撃者が盗んだ資金を受け取るために使用している複数の暗号通貨アドレスも特定・一覧化しており、BTC、ETH、LTC、TRXが含まれています。
DanaBotは、Proofpointの研究者によって、メールやマルバタイジングを通じて配布されるDelphiベースのバンキングマルウェアとして初めて公開され、その後バンキングトロイの木馬として知られるようになりました。
このマルウェアはマルウェア・アズ・ア・サービス(MaaS)モデルで運用され、サブスクリプション料金を支払うサイバー犯罪者に貸し出されていました。
その後の数年間で、このマルウェアは進化し、モジュール型の情報窃取およびローダーとなり、ウェブブラウザに保存された認証情報や暗号通貨ウォレットのデータを標的とするようになりました。
このマルウェアは多数のキャンペーンで使用され、その中には大規模なものもあり、2021年以降も断続的に再出現してインターネット利用者にとって継続的な脅威となっていました。
今年5月には、「Operation Endgame」というコードネームの国際的な法執行作戦により、Danabotのインフラが妨害され、起訴および差し押さえが発表されました。これにより、その活動は大幅に低下しました。
しかし、Zscalerによると、Danabotはインフラを再構築して再び活動を開始しています。Danabotのオペレーションが停止していた間、多くの初期アクセスブローカー(IAB)は他のマルウェアへと軸足を移していました。
DanaBotの再浮上は、主要な運営者が逮捕されない限り、数か月にわたる妨害があっても、金銭的な動機がある限りサイバー犯罪者の活動が粘り強く続くことを示しています。
DanaBot感染で観測される典型的な初期侵入手口には、悪意あるメール(リンクまたは添付ファイル経由)、SEOポイズニング、そして一部がランサムウェアにつながるマルバタイジングキャンペーンなどがあります。
組織は、Zscalerが公開した新たな侵害指標(IoC)をブロックリストに追加し、セキュリティツールを更新することで、DanaBotによる攻撃から防御することができます。
