El malware DanaBot, golpeado por la Operación Endgame en mayo de 2025 y supuestamente inactivo durante seis meses, ha vuelto a operar con una nueva variante, la versión 669. La nueva infraestructura de Comando y Control (C2) se basa en dominios.onion de la red Tor y nodos backconnect.
La campaña tiene un alcance global y se ejecuta bajo un modelo Malware-as-a-Service (MaaS), apuntando a sistemas Windows para robar credenciales bancarias, de criptomonedas y datos de wallets.
DanaBot Resurge: Tor C2 y el Retorno de las Redes Criminales
El retorno de DanaBot, que previamente infectó a más de 300.000 sistemas y provocó pérdidas por$approx $50$millones, muestra la resiliencia de las redes criminales organizadas para reconstruir su infraestructura.
Mecanismo de la Nueva Ola
- Reconstrucción Resiliente: La versión 669 reconstruye la infraestructura C2 usando servicios Tor y backconnects, lo que dificulta enormemente el rastreo y bloqueo de los servidores. El actor aprendió de la caída previa y construyó redundancia.
- Payload Enfocado en Cripto: El malware ha retomado sus módulos tradicionales (ladrón de credenciales de navegador, keylogging) pero con un enfoque ampliado hacia criptomonedas (direcciones de wallets BTC, ETH, LTC, TRX han sido detectadas).
- Vector de entrada: La infección inicial se logra mediante phishing por correo electrónico, publicidad maliciosa o descargas inducidas. DanaBot sirve como proveedor de acceso inicial, instalándose silenciosamente para robar credenciales y permanecer latente antes de lanzar un ataque mayor (como ransomware).
- Modelo MaaS: El modelo MaaS facilita que múltiples afiliados de bajo nivel accedan a la infraestructura, amplificando el alcance de la campaña globalmente.
Riesgos Estratégicos
- Evasión de Takedowns: El uso de Tor y backconnects reduce la efectividad de los operativos de interrupción policiales y dificulta la monitorización de red.
- Proveedor de Acceso Silencioso: El malware opera silenciosamente como proveedor de acceso inicial, lo que significa que puede instalarse, robar credenciales y permanecer latente sin generar alertas de ransomware “ruidosas”.
- Impacto en Criptomonedas: La ampliación del objetivo a wallets de criptomonedas eleva el riesgo financiero para usuarios y empresas que manejan activos digitales.
Recomendaciones
- Endurecimiento del Endpoint y Acceso
- Inventario Crítico: Realizar un inventario de sistemas Windows que manejan credenciales de navegador, wallets de criptomonedas o aplicaciones bancarias.
- Controles de Ejecución: Asegurar que todos los sistemas estén actualizados, con control de ejecución de scripts y bloqueo de macros y descargas no confiables.
- Protección de Cripto: Asegurar las wallets de criptomonedas con MFA y no almacenarlas en máquinas con acceso a red corporativa.
- Detección de Tor y Comportamiento Anómalo
- Monitoreo de Red: Implementar políticas de bloqueo/monitoreo para actividades de red inusuales: conexiones torientes, nodos Tor, backconnects o comunicación hacia dominios.onion desde estaciones de trabajo.
- Threat Hunting: Establecer caza para procesos de Windows invocando módulos sospechosos post-phishing y el uso de proxies SOCKS5 desde estaciones de trabajo (indicativo de la funcionalidad del malware).
- Auditoría: Revisar registros de correo electrónico y filtrar correos con adjuntos ZIP o enlaces a dominios malintencionados usados por DanaBot (según IoC publicados por Zscaler).
- Alertas de Robo: Crea alertas para el robo de credenciales (accesos desde nuevas ubicaciones) y para múltiples intentos de inicio de sesión fallidos.
