A ESET participou de uma grande operação internacional que resultou no desmantelamento da infraestrutura do Danabot, um sofisticado malware do tipo infostealer (roubo de informações). A ação foi coordenada pelo FBI, o Departamento de Justiça dos EUA, agências europeias e da Austrália, e contou com apoio técnico de empresas como Amazon, Google, CrowdStrike e Zscaler.

A equipe de pesquisa da ESET, que monitora o Danabot desde 2018, forneceu análises técnicas sobre o funcionamento do malware, sua infraestrutura de comando e controle (C&C), e ajudou na identificação dos indivíduos responsáveis pelo desenvolvimento, administração e comercialização.

Segundo Daniel Barbosa, pesquisador de segurança da ESET no Brasil, a experiência da ESET com esse recurso criminoso auxiliou as autoridades nessa operação. “Detalhamos as funcionalidades presentes nas versões mais recentes do malware, o modelo de negócio dos autores e o conjunto de ferramentas disponibilizado aos afiliados. Além de roubar dados confidenciais, o Danabot também era usado para distribuir outras ameaças, como ransomware, em sistemas já comprometidos”, explica.

O roubo de dados funcionava no modelo de “malware como serviço” (MaaS), no qual os operadores alugavam o acesso ao código malicioso para afiliados, que o distribuíam em suas próprias campanhas. O malware era operado por um único grupo, de maneira altamente modular e tinha funcionalidades como: roubo de credenciais em navegadores e e-mails, keylogging, gravação de tela, controle remoto de máquinas, roubo de carteiras de criptomoedas.

As campanhas de Danabot utilizavam métodos sofisticados de engenharia social, como anúncios falsos no Google, sites clonados de softwares legítimos, e páginas que simulavam busca por “fundos não reclamados”. Uma das táticas mais recentes envolvia páginas que instruíam usuários a colar comandos maliciosos no terminal, comprometendo seus dispositivos.

Na América Latina, os países mais afetados foram Peru, Argentina, Chile e México, embora o malware tenha histórico de maior atividade em regiões como Polônia, Itália, Espanha e Turquia. Também há registros de uso do Danabot em métodos menos convencionais, como em ataques DDoS (ataque de negação de serviço distribuído), incluindo uma ofensiva contra o Ministério da Defesa da Ucrânia em 2022.

Ainda segundo Daniel Barbosa, “o golpe desferido contra a estrutura do Danabot terá impacto duradouro, especialmente após a identificação de membros-chave do grupo. Resta saber se haverá alguma tentativa de reorganização futura.”

A ESET destaca que esse tipo de operação reforça a importância de colaborações internacionais entre setor público, privado e instituições de segurança, especialmente diante da complexidade e do alcance das ameaças modernas.