Danabot está de volta com força total. Desmantelado pelas autoridades americanas em maio passado durante a Operação Endgame, o vírus russo esteve envolvido em vários ataques cibernéticos recentes contra computadores Windows.
Em maio passado, as autoridades americanas desmantelaram o Danabot, um malware russo especializado em roubo de dados. Antes de ser desmantelado, o vírus infectou 300 mil computadores em todo o mundo e causou danos de US$ 50 milhões. O curto-circuito do Danabot fez parte do grande Operação Fim de Jogorealizado pela Europol e pelo sistema de justiça americano, contra diversos softwares maliciosos.
Vários meses após a ofensiva dos Estados Unidos, Danabot está de volta dos mortos. Em novembro de 2025, os pesquisadores do Zscaler ThreatLabz notaram o aparecimento de uma nova variante do malware. É sobre versão 669 que atualmente está causando estragos.
Danabot ressurgiu com a versão 669 após um hiato de quase 6 meses após as ações de aplicação da lei da Operação Endgame em maio.
Os C2s atuais são os seguintes:
62.60.226[.]146:443
62.60.226[.]154:443
80.64.19[.]39:443… pic.twitter.com/B8ABhP17eV-Zscaler ThreatLabz (@Threatlabz) 10 de novembro de 2025
Leia também: Este novo malware escreve e clica como um humano para passar despercebido
Campanhas de phishing em andamento
Especialistas registraram uma série de ataques cibernéticos baseados no Danabot e direcionados a computadores com Windows. As ofensivas começam com uma campanha de phishing. Os cibercriminosos distribuem malware por meio de e-mails contendo links maliciosos ou anexos fraudulentos. Os hackers também compartilham o Danabot através anúncios fraudulentos que redirecionam os usuários da Internet para sites infectados.
Em todos os casos, o objetivo é induzir a vítima a instalar o malware no seu computador. Uma vez instalado em uma máquina, o DanaBot visa principalmente informações armazenadas em navegadores, como identificadores, senhas, cookies e chaves privadas para carteiras de criptomoedas. Zscaler ThreatLabz também identificou vários endereços criptográficos mantidos pelos hackers, incluindo endereços no blockchain Bitcoin e Ethereum.
Leia também: 115 milhões de cartões bancários hackeados – Google retalia contra hackers chineses do Lighthouse
Táticas Danabot versão 669
Como muitos malwares avançados, ele faz mais do que simplesmente se instalar no disco rígido do computador comprometido. Para evitar ser detectado e removido por antivírus ou ferramentas de segurança da Microsoft, ele insere seu próprio código malicioso em programas legítimos em execução no sistema, como explorer.exe (Windows File Explorer) ou svchost.exe (que gerencia muitos serviços do Windows). A tática permite que o vírus opere discretamente. Na verdade, as soluções de segurança geralmente ignoram programas legítimos que contêm código Danabot. Paralelamente, o DanaBot cria tarefas agendadas no Windows. Essas tarefas automáticas são acionadas em intervalos regulares ou sempre que o computador é iniciado. O truque garante que o malware permaneça ativo e se reinstale mesmo após uma reinicialização.
Tudo sugere que a infra-estrutura do vírus foi reconstruída tijolo por tijolo. É possível que estes sejam os cibercriminosos russos que escaparam da Operação Endgame de maio passado. Baseados na Rússia, eles conseguiram escapar da aplicação da lei americana.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google News, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.