Mis à mal par l’opération Endgame au printemps, DanaBot n’avait plus donné signe de vie depuis. L’accalmie aura été de courte durée, une nouvelle variante circulant depuis peu, appuyée par une infrastructure entièrement reconstruite et par des flux financiers bien identifiés.
Après six mois de silence radio, on aurait presque pu finir par croire que DanaBot avait définitivement tiré sa révérence. L’opération Endgame, menée en mai dernier, avait mis à genoux son infrastructure, publié des actes d’accusation et forcé les acteurs chargés de fournir les accès initiaux à se rabattre sur d’autres malwares. Mais l’effet n’aura pas duré. D’après les chercheurs et chercheuses de Zscaler, une nouvelle version du trojan, la 669, tourne actuellement sur Windows, soutenue par une infrastructure technique renouvelée, fidèle néanmoins aux schémas éprouvés des campagnes précédentes et à la logique de botnet sur laquelle elle repose. Les opérateurs n’ayant pas tous été arrêtés, ils auront simplement profité du calme après la tempête pour rebâtir leur réseau et mieux relancer leurs campagnes d’infection opportunistes en vue de siphonner données et cryptomonnaies.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une variante inédite et une infrastructure déjà sur pied
C’est sur X que Zscaler a confirmé le retour de DanaBot, sans livrer pour l’instant de vraie méthodologie d’observation. L’annonce repose surtout sur un ensemble d’indicateurs traçant déjà les contours de la nouvelle variante, et décrivant une infrastructure pensée pour durer. On retrouve plusieurs serveurs de commande actifs, accessibles soit via des adresses IP publiques soit via des domaines en .onion, ainsi que deux nœuds de backconnect chargés d’assurer la liaison entre les machines compromises et les opérateurs.
Pour rappel, les domaines en .onion masquent les serveurs de commande derrière le réseau Tor, ce qui complique fortement leur identification et rend les tentatives de démantèlement beaucoup moins efficaces. Les nœuds de backconnect jouent, pour leur part, le rôle d’intermédiaires entre les machines compromises et l’infrastructure centrale. Le trafic transite d’abord par un serveur relais extérieur au botnet, une adresse parfaitement ordinaire pour un pare-feu, ce qui permet aux communications de sortir du réseau de la victime sans déclencher d’alerte. Ce relais sert ensuite de point d’entrée pour établir une connexion à distance vers les hôtes infectés, donnant aux opérateurs la possibilité d’exécuter des commandes, de déposer d’autres charges utiles ou de prendre le contrôle de la machine à distance.
Parmi les éléments mis en avant par Zscaler figurent également quatre portefeuilles en BTC, ETH, LTC et TRX, destinés à réceptionner les fonds détournés lors des attaques. Rien d’inédit en soi, ce type de configuration s’inscrivant dans une architecture d’infrastructure malveillante désormais très classique, mais suffisant pour confirmer que l’opération peut repartir à plein régime.
Une résurgence qui appelle à ne pas baisser la garde
En marge de cette reconstruction technique, le retour de DanaBot tend surtout à démontrer que l’écosystème qui gravitait autour du botnet n’a jamais été durablement entravé. Depuis son apparition, la menace a changé de forme plusieurs fois, passant du trojan bancaire à un modèle de malware-as-a-service (MaaS) fréquemment loué par des opérateurs tiers, puis à un infostealer modulaire capable de piller navigateurs et portefeuilles crypto. L’interruption liée à Endgame n’aura fait que mettre entre parenthèses une activité qui ne dépendait, au fond, que de la capacité d’opérateurs jamais arrêtés à reconstruire une infrastructure ailleurs.
En tout état de cause, les méthodes d’initialisation de l’infection ne devraient pas tant changer. Les campagnes antérieures s’appuyaient sur des mails piégés, du SEO poisoning ou du malvertising, parfois utilisés comme première étape pour des déploiements bien plus lourds, ransomwares compris.
Par conséquent, les organisations sont invitées à intégrer à leurs listes de blocages les indicateurs de compromission publiés par Zscaler et à vérifier que leurs outils détectent correctement les dérivés du trojan, afin de réduire les expositions liées à cette reprise d’activité.
Côté particuliers, l’enjeu consiste surtout à limiter la surface exploitable par un infostealer. Autrement dit, éviter autant que possible le stockage automatique des identifiants dans le navigateur, privilégier un gestionnaire de mots de passe dédié, activer la double authentification sur les comptes sensibles et gérer ses cryptowallets depuis des applications ou supports physiques dédiés plutôt que via des extensions web, nettement moins sécurisées. Enfin, comme d’habitude, on évite les liens dans les mails envoyés par des expéditeurs inconnus, on se tient à distance des liens sponsorisés dans les résultats des moteurs de recherche et on vérifie systématiquement l’adresse complète d’un site avant d’y accéder.
Source : Zscaler via X.com
