El infostealer funcionaba como un virus que se infiltraba en los sistemas sin que el usuario lo notara y capturaba información privada.
En una operación internacional coordinada por el Departamento de Estado de Estados Unidos, en colaboración con empresas de ciberseguridad y tecnológicas, se desmanteló el viernes la infraestructura de Danabot, un peligroso malware infostealer, famoso por su capacidad para robar información sensible de computadoras en todo el mundo.
Este peligroso espía digital representaba una seria amenaza global, principalmente en la Argentina, Perú y México, donde reportaron más casos.
¿Qué era Danabot y cómo operaba?
Danabot era un infostealer, un malware diseñado específicamente para el robo de información. Funcionaba como un virus que se infiltraba en los sistemas sin que el usuario lo notara para recopilar datos privados.
Este malware no era operado por un único grupo que realizaba todos los ataques, ya que los autores de Danabot lo administraban bajo un modelo de malware como servicio (Malware as a service, o MaaS). Esto significa que el grupo central desarrollaba y mantenía la herramienta, y luego la ofrecía en alquiler a otros ciberdelincuentes a cambio de una suscripción.
Los ciberdelincuentes afiliados usaban Danabot para impulsar sus propias campañas de ataques maliciosos, en las que gestionaban sus propias redes de bots.
Los autores de Danabot proporcionaban a sus clientes un conjunto de herramientas que incluía un panel de administración, una herramienta para control en tiempo real de los equipos infectados y un servidor proxy.
¿Qué tipo de información robaba y qué funciones tenía Danabot?
Danabot estaba equipado con una amplia variedad de funciones diseñadas para el robo de datos y el control de los sistemas de las víctimas. Entre sus capacidades más destacadas se encontraban:
- Robo de diversos datos: podía extraer información de navegadores, clientes de correo electrónico, clientes FTP y otros programas de uso común.
- Registro de pulsaciones de teclado y grabación de pantalla: permitía a los atacantes ver todo lo que la víctima escribía y lo que hacía en su pantalla.
- Control remoto en tiempo real: Los atacantes podían controlar los sistemas de las víctimas de forma remota.
- Captura de archivos: Era utilizado habitualmente para robar carteras de criptomonedas.
- Compatibilidad con inyecciones web y captura de formularios: Similar a técnicas usadas por el malware Zeus.
Además de sus capacidades de robo de información, Danabot también se utilizó para distribuir otro tipo de malware en sistemas ya comprometidos, incluso ransomware. Además, fue usado en actividades menos convencionales, como el lanzamiento de ataques de denegación de servicio distribuido (DDoS), como ocurrió en el ataque contra el Ministerio de Defensa de Ucrania poco después de la invasión rusa.
¿Cómo se propagaba Danabot?
Según ESET, una de las empresas que participó en el desmantelamiento de la infraestructura del malware, Danabot se propagó principalmente a través de técnicas de ingeniería social. Uno de los métodos más prominentes consistía en el uso indebido de anuncios de Google para mostrar sitios web maliciosos que aparecían como enlaces patrocinados en los resultados de búsqueda.
Otra maniobra popular era empaquetar el malware junto con software legítimo y ofrecer este paquete a través de sitios web falsos que simulaban ser sitios de descarga de software o que prometían falsamente ayudar a los usuarios a encontrar fondos no reclamados.
Además, detectaron páginas de internet engañosas que ofrecían soluciones a problemas informáticos inventados. Su objetivo era que las víctimas copiaran y ejecutaran un comando malicioso insertado de manera secreta en sus dispositivos.
El impacto en la Argentina y la operación de desmantelamiento
Si bien Danabot afectó a numerosos países desde 2018, Polonia, Italia, España y Turquía fueron los más atacados en Europa. Perú, Chile y México fueron algunos de los territorios más golpeados en América Latina, mientras que la Argentina estuvo entre las naciones más afectadas por las diversas campañas de distribución de este malware.
El desmantelamiento fue resultado de una operación internacional liderada por el Departamento de Justicia de Estados Unidos, el FBI y el Servicio de Investigación Criminal de Defensa. Contó con la colaboración de la policía de Alemania, Países Bajos y Australia. La participación del sector privado fue crucial, a través del aporte de empresas como ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru y Zscaler.
Para protegerse de este tipo de amenazas, desde ESET recomendaron no descargar programas de sitios desconocidos, obtener software solo de fuentes oficiales, mantener el sistema operativo y las aplicaciones actualizados, usar un software antivirus confiable y ser extremadamente precavido con correos electrónicos o mensajes sospechosos. Y por supuesto, realizar copias de seguridad de los archivos importantes.
