Oops: DanaBot恶意软件开发者感染了自家电脑

2025年5月22日，美国政府公开了对16名被指控运营和销售DanaBot的个人的刑事指控。DanaBot是一种自2018年起在俄罗斯网络犯罪论坛上销售的信息窃取恶意软件。FBI表示，新版本的DanaBot被用于间谍活动，且多名被告在意外感染自身系统后暴露了真实身份。

DanaBot：恶意软件即服务平台

DanaBot最初于2018年5月由电子邮件安全公司Proofpoint的研究人员发现，是一个专门从事凭证盗窃和银行欺诈的恶意软件即服务（MaaS）平台。

美国司法部今日公开了2022年的刑事申诉和起诉书，称FBI识别出至少40名 affiliates（附属机构），每月支付3000至4000美元以访问该信息窃取平台。

政府称，该恶意软件感染了全球超过30万个系统，造成估计超过5000万美元的损失。DanaBot阴谋的头目被命名为39岁的Aleksandr Stepanov（别名“JimmBee”）和34岁的Artem Aleksandrovich Kalinkin（别名“Onix”），两人均来自俄罗斯新西伯利亚。Kalinkin是俄罗斯国有能源巨头Gazprom的IT工程师，其Facebook个人资料名为“Maffiozi”。

两个主要版本与间谍活动

根据FBI，DanaBot至少有两个主要版本：第一个在2018年至2020年6月期间销售，之后该恶意软件停止在俄罗斯网络犯罪论坛上提供。政府指控，第二个版本的DanaBot于2021年1月出现，被提供给同谋者，用于针对多个国家的军事、外交和非政府组织计算机，包括美国、白俄罗斯、英国、德国和俄罗斯。

2022年9月20日的大陪审团起诉书称：“未起诉的同谋者会使用间谍变种来入侵全球计算机，并从这些目标受害者那里窃取敏感的外交通信、凭证和其他数据。这些被盗数据包括外交人员的金融交易、有关日常外交活动的通信，以及特定国家与美国互动的摘要。”

意外自感染与服务器查封

起诉书称，FBI在2022年查封了DanaBot作者用于控制其恶意软件的服务器，以及存储被盗受害者数据的服务器。政府表示，服务器数据还显示了许多DanaBot被告感染自身PC的实例，导致他们的凭证数据被上传到被联邦政府查封的被盗数据存储库中。

刑事申诉中写道：“在某些情况下，这种自我感染似乎是故意进行的，以测试、分析或改进恶意软件。在其他情况下，感染似乎是疏忽造成的——实施网络犯罪的危险之一是，犯罪分子有时会错误地感染自己的恶意软件。”

政府行动与行业合作

司法部的一份声明称，作为今日行动的一部分，国防刑事调查局（DCIS）的特工查封了DanaBot控制服务器，包括数十个在美国托管的虚拟服务器。政府表示，现正与行业合作伙伴合作，通知DanaBot受害者并帮助修复感染。声明感谢多家安全公司向政府提供援助，包括ESET、Flashpoint、Google、Intel 471、Lumen、PayPal、Proofpoint、Team CYMRU和ZScaler。

类似案例与进一步行动

以财务为导向的恶意软件被重新用于间谍活动并非闻所未闻。ZeuS特洛伊木马的一个变种在2007年至至少2015年期间被用于无数针对美国和欧洲公司的在线银行攻击，其作者曾一度将其转向间谍任务。

16名DanaBot被告的公开指控是在微软加入一系列科技公司 disrupt另一恶意软件即服务产品Lumma Stealer的IT基础设施一天后进行的。Lumma Stealer同样以分层订阅价格向附属机构提供，每月250至1000美元。此外，微软提起民事诉讼，以查封Lumma Stealer及其附属机构使用的2300个域名。

DanaBot恶意软件开发者意外感染自身电脑，FBI揭露网络犯罪内幕

美国司法部公开对16名DanaBot恶意软件运营者的刑事指控，揭露该恶意软件窃取全球30多万系统数据，造成超5000万美元损失，并意外感染开发者自身电脑的戏剧性事件。