Cybersecurity News

Danabot: Análisis de un imperio caído

May 26, 2025

El FBI y el Servicio de Investigación Criminal del Departamento de Defensa de EE. UU. (DCIS) lograron desmantelar la infraestructura del infostealer Danabot, una operación que forma parte de la iniciativa global Operation Endgame, coordinada por Europol y Eurojust. ESET colaboró desde 2018 en esta operación, proporcionando análisis técnicos del malware, identificando servidores C&C, y contribuyendo a la atribución de responsables.

Puntos clave del análisis
  • Danabot, inicialmente un troyano bancario e infostealer, también ha sido utilizado para distribuir ransomware y otras amenazas como Smokeloader, Zloader, Lumma Stealer y LockBit.
  • Funcionaba como un servicio de malware (MaaS), promocionado en foros clandestinos y ofrecido en alquiler a afiliados.
  • El conjunto de herramientas incluía: panel de administración, utilidades de backconnect y servidores proxy, todo operado desde infraestructura centralizada o privada según el modelo contratado.
  • Se han identificado más de 1,000 servidores C&C únicos y múltiples campañas dirigidas, con Polonia como uno de los países más afectados.
  • El malware fue distribuido mediante campañas de spam, otros loaders (como Matanbuchus) y la explotación de anuncios maliciosos en Google Ads.
Arquitectura e infraestructura

Danabot evolucionó desde una infraestructura centralizada a modelos de servidor privado para afiliados. La operación típica involucra:

  • Servidor C&C en forma de DLL, operando con una base de datos MySQL.
  • Panel de administración gráfico, con opciones para configurar bots, emitir comandos, generar builds y monitorear la actividad.
  • Herramienta de backconnect, que permite control remoto completo del sistema infectado, incluyendo escritorio remoto y exploración del sistema de archivos.
  • Aplicación de servidor proxy, que oculta la ubicación del backend real y puede complementarse con soporte para la red Tor.
Características del malware

Danabot está escrito en Delphi y ha incorporado, a lo largo de su evolución, funcionalidades como:

  • Robo de credenciales desde navegadores, clientes de correo y FTP.
  • Keylogging, captura de pantalla, y comandos para extraer archivos como billeteras de criptomonedas.
  • Soporte para webinjects similares a Zeus y ejecución de cargas útiles arbitrarias.
Métodos de distribución

Los operadores han recurrido a:

  • Campañas de spam con archivos adjuntos maliciosos.
  • Malware loader de terceros como Smokeloader y DarkGate.
  • Sitios web falsos promocionados en anuncios patrocinados de Google, incluyendo versiones fraudulentas de software legítimo o sitios para “fondos no reclamados”.
  • Técnicas de ingeniería social que implican comandos maliciosos copiados al portapapeles del usuario.
Comunicación y cifrado

Danabot utiliza un protocolo propietario con cifrado AES-256 para los datos y RSA para proteger las claves de sesión. El protocolo ha sido modificado varias veces, complicando su análisis y detección.

Related Posts
Clear Filters
Vulnerabilidad en plugin de WordPress expone a más de 600,000 sitios a eliminación de archivos y secuestro completo
Falla de seguridad en OttoKit expone sitios WordPress a secuestro administrativo
Vulnerabilidad en plugin de WordPress expone a más de 600,000 sitios a eliminación de archivos y secuestro completo
Cybersecurity News Vulnerabilities
Vulnerabilidad en plugin de WordPress expone a más de 600,000 sitios a eliminación de archivos y secuestro completo

Una vulnerabilidad severa (CVE-2025-6463) ha sido descubierta en Forminator, un plugin de formularios ampliamente utilizado en WordPress, exponiendo a más…

Read More
Ransomware Hunters International: ¿Fin o reinvención?
computer screen - login key
Ransomware Hunters International: ¿Fin o reinvención?
Cybersecurity News
Ransomware Hunters International: ¿Fin o reinvención?

El grupo de ransomware conocido como Hunter internacional anuncio el cierre definitivo del proyecto, esto fue anunciado por el propio…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required