A ESET, referência mundial em detecção proativa de ameaças digitais, foi fundamental em uma operação internacional que resultou no desmantelamento da infraestrutura do Danabot, um malware sofisticado focado em roubo de dados (infostealer). A ação, coordenada pelo FBI, Departamento de Justiça dos Estados Unidos, agências europeias e australianas, contou com o apoio técnico de gigantes da tecnologia como Amazon, Google, CrowdStrike e Zscaler.
A equipe de pesquisadores da ESET, que monitora o Danabot desde 2018, forneceu análises detalhadas sobre o funcionamento do malware e sua infraestrutura de comando e controle (C&C). Além disso, colaborou para identificar os responsáveis pelo desenvolvimento e pela comercialização do código malicioso.
Como o Danabot atuava
Daniel Barbosa, pesquisador de segurança da ESET no Brasil, explica a complexidade do malware e o impacto da operação. “Detalhamos as funcionalidades presentes nas versões mais recentes do malware, o modelo de negócio dos autores e o conjunto de ferramentas disponibilizado aos afiliados. Além de roubar dados confidenciais, o Danabot também era usado para distribuir outras ameaças, como ransomware, em sistemas já comprometidos”, afirma.
O Danabot operava no modelo “malware como serviço” (MaaS), alugando seu código para afiliados que o distribuíam em campanhas próprias. Altamente modular, o malware tinha funções que incluíam roubo de credenciais de navegadores e e-mails, keylogging, gravação de tela, controle remoto de máquinas e roubo de carteiras de criptomoedas.
Impacto global e táticas usadas
Desde 2018, a telemetria da ESET registra detecções globais do Danabot, com maior concentração de ataques na Polônia, Itália, Espanha e Turquia. Na América Latina, Peru, Argentina, Chile e México estão entre os mais afetados. Além disso, o Danabot foi utilizado em ataques DDoS, como a ofensiva contra o Ministério da Defesa da Ucrânia em 2022.
As campanhas de Danabot empregavam técnicas avançadas de engenharia social, como anúncios falsos no Google, sites clonados de softwares legítimos e páginas fraudulentas prometendo a busca por “fundos não reclamados”. Recentemente, uma tática envolvia instruir usuários a colar comandos maliciosos diretamente no terminal, comprometendo seus dispositivos.
Colaboração internacional é essencial
Sobre o desfecho da operação, Daniel Barbosa comenta: “O golpe desferido contra a estrutura do Danabot terá impacto duradouro, especialmente após a identificação de membros-chave do grupo. Resta saber se haverá alguma tentativa de reorganização futura.”
A ESET reforça que operações como essa destacam a importância da colaboração entre setor público, empresas privadas e instituições de segurança para combater ameaças cada vez mais sofisticadas e globais.
