ESET monitora Danabot dal 2018. Il malware, offerto come servizio, è noto per il furto di dati e la diffusione di ransomware. L’analisi di ESET svela le funzionalità più recenti e il modello di business degli sviluppatori. Tra i Paesi più colpiti figurano Polonia, Italia, Spagna e Turchia
Milano, 28 maggio 2025 – ESET, leader europeo globale nel mercato della cybersecurity, ha partecipato a un’importante operazione internazionale volta alla neutralizzazione dell’infrastruttura del malware Danabot. L’azione è stata coordinata dal U.S. Department of Justice, dall’FBI e dal U.S. Department of Defense’s Defense Criminal Investigative Service, con il supporto di Europol ed Eurojust.
Le agenzie statunitensi hanno operato in stretta collaborazione con il Bundeskriminalamt (Germania), la Netherlands’ National Police e l’Australian Federal Police, insieme a partner privati tra cui Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru e Zscaler.
ESET ha fornito un contributo significativo grazie all’analisi tecnica del malware e della sua infrastruttura di backend, oltre all’identificazione dei server di Command and Control (C&C) di Danabot.
ESET Research monitora Danabot dal 2018, analizzandone campagne attive a livello globale. Tra i Paesi storicamente più colpiti figurano Polonia, Italia, Spagna e Turchia. Nato come infostealer, Danabot è stato frequentemente impiegato anche come vettore per la distribuzione di ulteriori minacce, tra cui ransomware.
L’operazione – condotta nell’ambito dell’iniziativa globale Operation Endgame – ha portato allo smantellamento di infrastrutture critiche utilizzate per la diffusione di ransomware tramite software malevolo. L’intervento congiunto ha anche permesso l’identificazione di diversi individui coinvolti nello sviluppo, nella vendita e nella gestione di Danabot.
“Con Danabot ormai ampiamente compromesso, cogliamo l’occasione per condividere la nostra analisi su questa operazione di malware-as-a-service, descrivendo le funzionalità più recenti del malware, il modello di business degli autori e gli strumenti offerti agli affiliati”, spiega Tomáš Procházka, ricercatore di ESET coinvolto nell’indagine.
Gli sviluppatori di Danabot operano come un’unica entità, offrendo il malware a noleggio agli affiliati, che a loro volta lo impiegano per gestire botnet autonome. Il malware include numerose funzionalità avanzate:
– Furto di dati da browser, client email, client FTP e altri software;
– Keylogging e screen recording;
– Controllo remoto in tempo reale dei sistemi infetti;
– File grabbing, spesso rivolto al furto di wallet di criptovalute;
– Supporto a webinject in stile Zeus e form grabbing;
– Caricamento ed esecuzione di payload scelti dall’attaccante.
ESET ha inoltre documentato l’uso di Danabot per scopi diversi dalla sola esfiltrazione di dati. In casi documentati, è stato utilizzato anche per condurre attacchi DDoS, come quello rivolto al Ministry of Defense of Ukraine poco dopo l’invasione russa del 2022.
Nel tempo, i criminali informatici affiliati hanno adottato diversi metodi di distribuzione. Recentemente, ESET ha individuato l’abuso di Google Ads, usati per mostrare link sponsorizzati apparentemente legittimi ma in realtà malevoli. Tali campagne indirizzano le vittime verso siti fraudolenti che offrono software infetti o soluzioni per problemi informatici inesistenti. Altre tecniche includono pacchetti software falsi e siti che promettono il recupero di fondi non reclamati.
Il kit messo a disposizione degli affiliati include un pannello di amministrazione, uno strumento di backconnect per il controllo remoto in tempo reale e un’applicazione proxy per instradare le comunicazioni tra i bot e i server C&C. Gli affiliati sono responsabili della creazione di nuove varianti del malware e della loro diffusione attraverso campagne personalizzate.
“Non è ancora chiaro se Danabot riuscirà a riprendersi da questo colpo. L’operazione ha comunque inflitto un danno sostanziale, portando allo smascheramento di diversi soggetti coinvolti nelle sue attività”, conclude Procházka.
Per approfondimenti tecnici e analisi dettagliate, si rimanda al post “Danabot: Analyzing a fallen empire” pubblicato sul blog di ESET Research, WeLiveSecurity.com. Per rimanere aggiornati sulle ultime novità è possibile seguire ESET Research su X (precedentemente noto come Twitter), BlueSky e Mastodon.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
A proposito di ESET
ESET®, fondata in Europa, è il punto di riferimento per la cybersecurity nella regione, con una rete di uffici presente in tutto il mondo. Offre soluzioni di sicurezza digitale all’avanguardia per prevenire gli attacchi prima che si verifichino. Combinando la potenza dell’intelligenza artificiale con l’expertise umana, ESET è in grado di anticipare le minacce informatiche globali, note ed emergenti, proteggendo aziende, infrastrutture critiche e utenti finali. Che si tratti di protezione endpoint, cloud o mobile, le soluzioni e i servizi AI-native e cloud-first di ESET si distinguono per prestazioni elevate e semplicità d’uso. La tecnologia ESET è “Made in the EU” e include funzionalità avanzate di rilevamento e risposta, crittografia ultra-sicura e autenticazione a più fattori. Con una protezione in tempo reale attiva 24/7 e un solido supporto locale, le soluzioni ESET garantiscono la continuità operativa di utenti e organizzazioni. In un contesto digitale in continua evoluzione, la sicurezza richiede un approccio innovativo: ESET investe costantemente in ricerca di eccellenza e threat intelligence, supportata dai propri centri di ricerca e sviluppo e da una solida rete di partner globali. Per maggiori informazioni, visitate il sito www.eset.com o seguite ESET sui social media, podcast e blog.