![](http://expert.com.ua/wp-content/uploads/2025/01/giganet_banner-900x90-2.png")
Операція зі знешкодження поширеної загрози Danabot здійснювалася Міністерством юстиції США, ФБР та Міністерством оборони США у співпраці з правохоронними органами Німеччини, Нідерландів, Австралії.
Компанія ESET взяла участь у цій операції разом з Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru та Zscaler.
Окрім функціоналу викрадення даних, загроза використовувалася для поширення програм-вимагачів, а також DDoS-атаки на Міністерство оборони України одразу ж після початку російського повномасштабного вторгнення в Україну.
Поширення Danabot
Дослідники ESET, які відстежували Danabot з 2018 року, надали технічний аналіз шкідливого програмного забезпечення та його внутрішньої інфраструктури, а також ідентифікацію командних (C&C) серверів Danabot.
Протягом цього періоду спеціалісти ESET проаналізували різну активність Danabot у всьому світі. Спільні зусилля з викриття також призвели до ідентифікації осіб, відповідальних за розробку, продаж, адміністрування Danabot тощо.
Як працював Danabot
Зловмисники Danabot діють як єдина група, пропонуючи свої інструменти як послугу іншим кіберзлочинцям, які використовують їх в своїх зловмисних цілях. До функцій, які пропонує шкідлива програма, входять можливість крадіжки різних даних з браузерів, поштових клієнтів, FTP-клієнтів та іншого популярного програмного забезпечення; запис натиснень клавіатури і екрану; віддалене управління системами користувачів у режимі реального часу; а також перехоплення файлів.
Окрім використання можливостей для крадіжки, дослідники ESET фіксували, як протягом багатьох років через Danabot розповсюджувалося різне шкідливе програмне забезпечення. Крім цього, спеціалісти ESET виявили випадки використання Danabot для завантаження програм-вимагачів у вже скомпрометовані системи.
На додаток до цих видів кіберзлочинності, Danabot також використовувався для запуску DDoS-атак із залученням скомпрометованих комп’ютерів, наприклад, DDoS-атаки на Міністерство оборони України одразу ж після початку повномасштабного російського вторгнення в Україну.
Останнім часом серед усіх механізмів розповсюдження Danabot, які виявляли дослідники ESET, найпоширенішим було несанкціоноване використання Google Ads для показу шкідливих вебсайтів у результатах пошуку Google. Найпопулярнішим прийомом є поєднання шкідливого з легальним програмним забезпеченням для подальшого поширення через підроблені ресурси.
Доповненням до цих методів соціальної інженерії стали оманливі вебсайти, які пропонують рішення для фальшивих комп’ютерних проблем, єдиною метою яких є заманювання жертв виконати шкідливу команду, таємно додану в буфер обміну користувача.
Чи відновиться Danabot
«Поки що невідомо, чи зможе Danabot відновитися від цієї ліквідації. Однак знешкодження, безумовно, буде відчутно, оскільки правоохоронцям вдалося викрити кількох осіб, причетних до діяльності шкідливого програмного забезпечення», – підсумовує Томаш Прохазка, дослідник ESET.
