SET helpt bij de verstoring van infrastructuur Danabot infostealer

• ESET Research volgt de activiteiten van Danabot sinds 2018. Deze inspanningen maakten deel uit van een internationale samenwerking die heeft geleid tot een gedeeltelijke verstoring van de malware-infrastructuur.
• Hoewel Danabot primair is ontwikkeld als infostealer, wordt het ook gebruikt voor het verspreiden van aanvullende malware zoals ransomware.
• De makers bieden Danabot aan via fora en verhuren het aan criminele afnemers.
• Deze analyse van ESET gaat in op de nieuwste functies, het businessmodel van de ontwikkelaars en de middelen die aan criminele afnemers worden aangeboden.
• Polen, Italië, Spanje en Turkije zijn historisch gezien het vaakst doelwit van Danabot-campagnes.

 

Sliedrecht, 22 mei 2025 – ESET heeft een belangrijke bijdrage geleverd aan een grootschalige verstoring van de beruchte infostealer Danabot door de Amerikaanse ministeries van Justitie en Defensie en de FBI. Die instanties werkten nauw samen met de Nederlandse politie, de Duitse politie en de Australische politie.

ESET research volgt de activiteiten van Danabot al sinds 2018 en ondersteunde de operatie door technische ondersteuning door de malware en haar backend-infrastructuur te analyseren, en hielp bij het opsporen van command-and-controlservers. Tijdens het onderzoek werden diverse wereldwijde Danabot-campagnes onderzocht. Landen zoals Polen, Italië, Spanje en Turkije bleken herhaaldelijk doelwit te zijn.

Daarnaast leidde de operatie tot de identificatie van meerdere personen die betrokken zijn bij de ontwikkeling, verkoop en het beheer van Danabot.

Inzicht in malware-as-a-service

“Nu Danabot grotendeels is verstoord, delen we onze inzichten in deze malware-as-a-service-operatie,”zegt ESET-onderzoeker Tomáš Procházka. “We gaan in op de nieuwste functies, het verdienmodel van de ontwikkelaars en het arsenaal dat criminele afnemers ter beschikking wordt gesteld. Behalve voor datadiefstal wordt Danabot ook gebruikt om extra malware, zoals ransomware, te installeren op reeds geïnfecteerde systemen.”

Danabot wordt ontwikkeld door één centrale groep, die de tool verhuurt aan criminele afnemers. Ze gebruiken Danabot voor eigen kwaadwillende doeleinden en beheren hun eigen botnets.

Uitgebreide functionaliteit voor cybercriminelen

De malware beschikt over een breed scala aan functies, waaronder:

• Het stelen van gegevens uit browsers, e-mailprogramma’s en FTP-clients;
• Keylogging en schermopnames;
• Besturing op afstand van geïnfecteerde systemen;
• Het stelen van bestanden, bijvoorbeeld cryptowallets;
• Webinjects en form grabbing zoals bij Zeus-malware;
• Upload en uitvoering van kwaadaardige bestanden.

ESET heeft gezien dat Danabot via de jaren heen ook is gebruikt om verschillende soorten kwaadaardige payloads te verspreiden, waaronder ransomware.

Misbruik van Google Ads en andere verspreidingsmethoden

Danabot wordt op een aantal manieren verspreid. Eén van de opvallendste methoden is het misbruiken van Google Ads om gebruikers te lokken naar malafide websites om daar de gebruiker te verleiden tot het downloaden van Danabot. De meest gebruikte methode is het bundelen van Danabot met legitieme software en het aanbieden van zo’n pakket via nepsoftwarewebsites. Of via websites die gebruikers ten onrechte beloven bij het opsporen van niet opgeëiste tegoeden.

Met meest recente voorbeeld van social engineering is het gebruik van nepsites die oplossingen bieden voor verzonnen computerproblemen. Het doel is om slachtoffers een kwaadaardig commando uit te laten voeren dat onopvallend aan het klembord is toegevoegd.

De toolset die aan criminele afnemers wordt aangeboden omvat:

• Een beheerpaneel;
• Een backconnect-tool voor live beheer van geïnfecteerde systemen;
• Een proxyserverapplicatie voor communicatie tussen de bots en de C&C-server.

Criminele afnemers kunnen zelf Danabot-builds genereren en zijn verantwoordelijk voor de verspreiding ervan via hun eigen campagnes.

Blijvende impact van de operatie

“Het is nog onduidelijk of Danabot zich zal herstellen van deze actie. De klap is echter aanzienlijk, zeker nu diverse betrokkenen zijn geïdentificeerd,” aldus Procházka.

Een technisch overzicht van Danabot is te vinden in de blogpost “Danabot: Analyzing a fallen empire” op WeLiveSecurity.com. Volg ESET Research op Twitter (X) en BlueSky voor het laatste nieuws.

Wereldwijde detecties van Danabot zoals waargenomen in ESET-telemetrie sinds 2018