Μία κρίσιμη ευπάθεια διαρροής μνήμης στην υποδομή εντολών και ελέγχου του κακόβουλου λογισμικού DanaBot έχει εκθέσει ευαίσθητα λειτουργικά δεδομένα που ανήκουν σε κυβερνοεγκληματίες, αποκαλύπτοντας ταυτότητες hacker, κρυπτογραφικά κλειδιά και πληροφορίες θυμάτων που καλύπτουν σχεδόν τρία χρόνια κακόβουλων επιχειρήσεων.
Δείτε επίσης: ΗΠΑ: Αμοιβή $ 10 εκατ. για στοιχεία για τους χειριστές του RedLine malware
Η ευπάθεια, που ονομάστηκε «DanaBleed» από ερευνητές ασφαλείας, προέκυψε από ένα σφάλμα προγραμματισμού που εισήχθη τον Ιούνιο του 2022 και παρέμεινε μέχρι τις αρχές του 2025, παρέχοντας πρωτοφανή εικόνα για ένα από τα πιο εξελιγμένα τραπεζικά trojan στο οικοσύστημα του κυβερνοεγκλήματος.
Το DanaBot εμφανίστηκε για πρώτη φορά το 2018 ως μια ολοκληρωμένη πλατφόρμα Malware-as-a-Service που έχει σχεδιαστεί για να διευκολύνει την τραπεζική απάτη, την κλοπή διαπιστευτηρίων και τις λειτουργίες απομακρυσμένης πρόσβασης.
Το κακόβουλο λογισμικό απέκτησε γρήγορα φήμη για την αρθρωτή αρχιτεκτονική του και τις εξελιγμένες τεχνικές αποφυγής, επιτρέποντας στους κυβερνοεγκληματίες να διεξάγουν στοχευμένες επιθέσεις εναντίον χρηματοπιστωτικών ιδρυμάτων και μεμονωμένων χρηστών παγκοσμίως. Η ευελιξία του επέτρεψε στους κακόβουλους παράγοντες να αναπτύξουν διάφορα ωφέλιμα φορτία, από keyloggers και εργαλεία καταγραφής οθόνης έως πιο προηγμένους μηχανισμούς μόνιμης πρόσβασης.
Οι ερευνητές της Zscaler εντόπισαν την ευπάθεια διαρροής μνήμης κατά την ανάλυση της DanaBot έκδοσης 2380, η οποία εισήγαγε σημαντικές αλλαγές στο πρωτόκολλο επικοινωνίας του κακόβουλου λογισμικού τον Ιούνιο του 2022.
Δείτε ακόμα: Honeywell: Οι μολύνσεις από το Ramnit malware αυξάνονται
Οι ερευνητές ανακάλυψαν ότι η ευπάθεια προκάλεσε ακούσια διαρροή τμημάτων της μνήμης διεργασίας του διακομιστή C2 σε απαντήσεις σε μολυσμένα θύματα, συγκρίσιμη με την περίφημη ευπάθεια Heartbleed του 2014.
Αυτή η παράλειψη παρείχε στους αναλυτές ασφαλείας μια άνευ προηγουμένου πρόσβαση στις εσωτερικές λειτουργίες της DanaBot, εκθέτοντας κρίσιμες πληροφορίες σχετικά με την υποδομή και τις μεθοδολογίες των απειλητικών φορέων.
Οι διαρροές πληροφοριών αποδείχθηκαν εκτεταμένες και επιζήμιες για την επιχείρηση του κυβερνοεγκληματία, αποκαλύπτοντας ονόματα χρήστη και διευθύνσεις IP των απειλητικών φορέων, λεπτομέρειες υποδομής διακομιστή C2 στο παρασκήνιο, στατιστικά στοιχεία μόλυνσης, ενημερώσεις έκδοσης κακόβουλου λογισμικού και ιδιωτικά κρυπτογραφικά κλειδιά.
Ίσως το πιο σημαντικό, η ευπάθεια εξέθεσε τα διαπιστευτήρια των θυμάτων και άλλα δεδομένα που είχαν κλαπεί, καταδεικνύοντας το εύρος των δυνατοτήτων κλοπής πληροφοριών του DanaBot.
Δείτε επίσης: Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
Οι πληροφορίες που συλλέχθηκαν από αυτές τις διαρροές μνήμης συνέβαλαν σε πολύτιμες πληροφορίες που πιθανότατα βοήθησαν τις προσπάθειες επιβολής του νόμου, με αποκορύφωμα την αποσυναρμολόγηση της υποδομής του DanaBot από την Operation Endgame και την απαγγελία κατηγοριών σε 16 συνδεδεμένα μέλη τον Μάιο του 2025.
Πηγή: cybersecuritynews
