Danabot恶意软件携新版Windows变体重返威胁领域

DanaBot在沉寂6个月后携新版变体（版本669）重新出现，目标直指Windows系统。这一回归发生在5月Operation Endgame执法行动中断其活动之后。Zscaler ThreatLabz研究人员已识别出最新活动中使用的指挥控制服务器及运营者使用的钱包地址。

DanaBot是一款采用Delphi编写的多阶段模块化银行木马，最早于2018年出现在威胁领域。该恶意软件采用模块化结构，允许运营者通过添加新插件来支持新功能。恶意代码通过恶意软件即服务模式提供，犯罪分子通过支付订阅费租用该服务。

DanaBot银行木马最初以澳大利亚和波兰用户为目标，随后扩展到其他国家，包括意大利、德国、奥地利，并在2018年9月蔓延至乌克兰。该恶意代码持续演变，专家观察到多起针对澳大利亚、北美和欧洲用户的攻击活动。

5月期间，一项代号为Operation Endgame的国际执法行动瞄准了威胁行为者用于在勒索软件部署前渗透系统的初始访问恶意软件。被清除的恶意软件家族包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie，这些恶意软件通常被用于勒索软件即服务计划。当局还针对主要运营者发出了20份国际逮捕令。

此次联合行动由荷兰、德国、法国、丹麦、美国和英国当局在Europol和Eurojust支持下执行。此外，通过与上述当局合作，还在乌克兰、瑞士、亚美尼亚、葡萄牙、罗马尼亚、加拿大、立陶宛和保加利亚开展了逮捕或审讯嫌疑人、搜查或查扣服务器等警务行动。

Zscaler已分享与最新活动相关的入侵指标。