En una operación conjunta, autoridades del FBI y del Servicio de Investigación Criminal de Defensa (DCIS) del Departamento de Defensa de los Estados Unidos han logrado desmantelar la infraestructura de DanaBot, uno de los troyanos bancarios más sofisticados y persistentes de los últimos años. El malware, basado en el modelo de “malware como servicio” (MaaS), fue utilizado por ciberdelincuentes para robar información financiera y personal de más de 300.000 víctimas.
Un Gran Jurado del Departamento de Justicia de EE. UU. acusó formalmente a 16 ciudadanos rusos, entre ellos Aleksandr Stepanov (alias “JimmBee”), presunto desarrollador del malware, y Artem Kalinkin (alias “Onix”), quien se desempeñaría como responsable de ventas. Ambos eran activos en foros clandestinos de habla rusa.
La investigación, detallada por el Agente Especial del FBI Elliott Peterson en una criminal complaint (denuncia penal formal), reveló que algunos operadores cometieron errores operativos —como infectar sus propios sistemas— lo que facilitó su identificación por parte de las autoridades.
Activo desde 2018, DanaBot era un troyano bancario escrito en el lenguaje Delphi. Robaba datos de navegadores y clientes de correo, realizaba keylogging, capturas de pantalla, control remoto y robo de wallets. También sirvió como puerta de entrada para otros malware como LockBit y fue empleado en campañas de espionaje estatal tras la invasión rusa a Ucrania.
De acuerdo al indictment (acusación formal), existían dos variantes: una “criminal” y otra “de espionaje”, esta última dirigida a objetivos diplomáticos, militares y ONGs.
DanaBot se ofrecía a afiliados por suscripción mensual. Estos distribuían el malware mediante spam, phishing o el uso indebido de Google Ads. Los usuarios contaban con herramientas como paneles de administración, aplicaciones de control en tiempo real y servidores proxy para gestionar sus operaciones maliciosas.
https://www.welivesecurity.com/es/investigaciones/danabot-analisis-de-un-imperio-caido/
Empresas como ESET, Amazon, Google, Intel471, PayPal y CrowdStrike colaboraron estrechamente con las autoridades, proporcionando análisis técnicos y ayudando a identificar servidores y mapear la red criminal.
Aunque su actividad había disminuido, la operación marca un punto clave en la lucha contra el cibercrimen. El caso DanaBot funciona como un fuerte disuasivo para quienes desarrollan o utilizan servicios de malware con fines delictivos.
Fuente
https://www.welivesecurity.com/es/investigaciones/danabot-analisis-de-un-imperio-caido/
https://intel471.com/blog/danabot-malware-disrupted-threat-actors-named
Ciberprisma - alianza por la ciberseguridad 