DanaBot kötü amaçlı yazılımı, kolluk kuvvetlerinin Endgame Operasyonu’nun Mayıs ayında faaliyetlerini kesintiye uğratmasından altı ay sonra, saldırılarda gözlemlenen yeni bir sürümle geri döndü.
Zscaler ThreatLabz’daki güvenlik araştırmacılarına göre DanaBot’un Tor alanlarını (.onion) ve “backconnect” düğümlerini kullanan bir komuta ve kontrol (C2) altyapısına sahip yeni bir versiyonu olan 669 sürümü var.
Zscaler ayrıca tehdit aktörlerinin çalıntı fonları almak için kullandığı BTC, ETH, LTC ve TRX’teki çeşitli kripto para birimi adreslerini de belirledi ve listeledi.
DanaBot ilk olarak Proofpoint araştırmacıları tarafından e-posta ve kötü amaçlı reklam yoluyla iletilen Delphi tabanlı bir bankacılık truva atı olarak açıklandı.
Hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında çalışıyordu ve abonelik ücreti karşılığında siber suçlulara kiralanıyordu.
Takip eden yıllarda, kötü amaçlı yazılım, web tarayıcılarında depolanan kimlik bilgilerini ve kripto para cüzdanı verilerini hedef alan modüler bir bilgi hırsızı ve yükleyicisine dönüştü.
Kötü amaçlı yazılım, bazıları büyük ölçekli olan çok sayıda kampanyada kullanıldı ve 2021’den itibaren ara sıra yeniden ortaya çıkarak internet kullanıcıları için sürekli bir tehdit olmaya devam etti.
Bu yılın mayıs ayında, ‘Operasyon Sonu Operasyonu’ kod adlı uluslararası bir kolluk kuvveti, Danabot’un altyapısını bozdu ve iddianameleri ve el koymaları duyurdu; bu da operasyonlarını önemli ölçüde olumsuz etkiledi.
Ancak Zscaler’e göre Danabot, yeniden inşa edilen altyapısıyla yeniden aktif durumda. Danabot operasyonu çökerken, birçok ilk erişim aracısı (IAB) diğer kötü amaçlı yazılımlara yöneldi.
DanaBot’un yeniden ortaya çıkması, özellikle çekirdek operatörlerin tutuklanmadığı durumlarda, aylarca süren kesintiye rağmen, mali teşvik olduğu sürece siber suçluların faaliyetlerinde dirençli olduklarını gösteriyor.
DanaBot enfeksiyonlarında gözlemlenen tipik ilk erişim yöntemleri arasında kötü amaçlı e-postalar (bağlantılar veya ekler aracılığıyla), SEO zehirlenmesi ve bazıları fidye yazılımlarına yol açan kötü amaçlı reklam kampanyaları yer alıyor.
Kuruluşlar, Zscaler’ın yeni güvenlik ihlali göstergelerini (IoC’ler) engelleme listelerine ekleyerek ve güvenlik araçlarını güncelleyerek DanaBot saldırılarına karşı savunma yapabilirler.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.