ESET beteiligt sich an der Zerschlagung von Danabot
Jena - Seit 2018 verfolgen die Forscher von ESET die Aktivitäten des Schadprogramms Danabot. Nun ist es dem europäischen IT-Sicherheitshersteller gemeinsam mit Strafverfolgungsbehörden aus den USA, Deutschland, den Niederlanden und Australien gelungen, die Infrastruktur von Danabot zu zerschlagen. ESET lieferte technische Analysen der Schadsoftware und ihrer Backend-Infrastruktur und half, die sogenannten C&C-Server (Command-and-Control-Server) von Danabot zu identifizieren. Hauptziele der Malware waren Polen, Italien, Spanien und die Türkei. ESET war neben Unternehmen wie Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru und Zscaler an der Aktion beteiligt. Diese koordinierte Aktion führte auch zur Identifizierung von Personen, die für die Entwicklung, den Vertrieb und die Administration von Danabot verantwortlich sind.
"Da Danabot nun weitgehend lahmgelegt ist, nutzen wir die Gelegenheit, unsere Erkenntnisse über die Funktionsweise dieses Malware-as-a-Service-Angebots zu teilen. Wir beleuchten dabei die Funktionen der neuesten Versionen und das Geschäftsmodell der Entwickler. Neben dem Diebstahl sensibler Daten haben wir beobachtet, dass Danabot auch zur Verbreitung weiterer Schadsoftware, einschließlich Ransomware, auf bereits kompromittierten Systemen eingesetzt wird", erklärt ESET-Forscher Tomá Procházka, der Danabot untersucht hat.
Merkmale von Danabot
Die Entwickler von Danabot agieren als geschlossene Gruppe und bieten ihr Tool zur Miete für potenzielle Interessenten an. Diese setzen Danabot für ihre eigenen kriminellen Zwecke ein, indem sie eigene Botnetze (Netzwerke aus infizierten Computern) aufbauen und verwalten. Danabot bietet eine Vielzahl von Funktionen, um Kunden bei ihren illegalen Aktivitäten zu unterstützen. Zu den wichtigsten Merkmalen gehören:
* Die Fähigkeit, verschiedene Daten aus Browsern, E-Mail-Programmen, FTP-Clients und anderer gängiger Software zu stehlen * Keylogging (Aufzeichnen von Tastatureingaben) und Bildschirmaufnahmen * Echtzeit-Fernsteuerung der infizierten Systeme * Dateizugriff (häufig zum Diebstahl von Kryptowährungs-Wallets genutzt) * Unterstützung für Zeus-ähnliche Webinjects und Form Grabbing (Manipulation von Webseiten und Abfangen von Formulareingaben) * Nachladen und Ausführen beliebiger Schadsoftware (Payloads)
Neben diesen Diebstahlfunktionen hat ESET Research über die Jahre verschiedene Schadprogramme beobachtet, die über Danabot verteilt wurden, darunter auch Ransomware. Darüber hinaus wurde Danabot auch für DDoS-Angriffe (Distributed Denial of Service, also Überlastungsangriffe) missbraucht zum Beispiel bei einem Angriff auf das ukrainische Verteidigungsministerium kurz nach Beginn der russischen Invasion.
Bündelung mit legitimer Software
Im Laufe der Zeit war Danabot laut ESET eine bevorzugte Wahl vieler Cyberkrimineller, wobei unterschiedliche Verbreitungswege genutzt wurden. Die Entwickler von Danabot arbeiteten sogar mit Autoren von sogenannten Cryptors und Loaders (Programmen zur Verschleierung und Verbreitung von Schadsoftware) zusammen und boten spezielle Bündelpreise für die Verteilung an. Zu den auffälligsten aktuellen Methoden zählt der Missbrauch von Google Ads: Hierbei werden scheinbar seriöse, tatsächlich aber bösartige Webseiten über bezahlte Anzeigen in den Google-Suchergebnissen platziert, um Opfer zum Download von Danabot zu verleiten. Besonders beliebt ist es, die Schadsoftware mit legitimer Software zu bündeln und über gefälschte Softwareseiten oder Webseiten, die angeblich bei der Suche nach nicht in Anspruch genommenen Geldern helfen, anzubieten. Neueste Social-Engineering-Techniken setzen auf täuschende Webseiten, die Lösungen für erfundene Computerprobleme anbieten und Nutzer dazu bringen sollen, schädliche Befehle auszuführen, die heimlich in die Zwischenablage kopiert werden.
Das typische Toolset, das die Danabot-Entwickler bereitstellen, umfasst eine Administrationsoberfläche, ein Backconnect-Tool für die Echtzeitkontrolle der Bots und eine Proxy-Server-Anwendung, die die Kommunikation zwischen den Bots und dem eigentlichen C&C-Server vermittelt. Cyberkriminelle können verschiedene Optionen wählen, um neue Danabot-Versionen zu generieren, und sind selbst dafür verantwortlich, diese über eigene Kampagnen zu verbreiten.
"Ob sich Danabot von dieser Zerschlagung erholen kann, bleibt abzuwarten. Der Schlag wird jedoch sicherlich zu spüren sein, da die Strafverfolgungsbehörden mehrere an den Operationen beteiligte Personen enttarnen konnten", so Procházka abschließend.
Weitere Informationen gibt es im aktuellen Blog-Artikel auf WeLiveSecurity. ( https://www.welivesecurity.com/en/eset-research/danabot-analyzing-fallen-empire/ )
(Ende)
Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.de
