O malware DanaBot, que muitos especialistas em segurança acreditavam estar neutralizado, está de volta. Apenas seis meses após a Operação Endgame, uma das maiores ofensivas internacionais contra o cibercrime, o trojan bancário ressurgiu em uma nova e perigosa variante identificada como versão 669.
Pesquisadores da Zscaler ThreatLabz descobriram que a ameaça está novamente ativa em campanhas contra usuários de Windows, apresentando mudanças importantes em sua infraestrutura e comportamento. O que antes parecia um golpe definitivo nas operações do DanaBot revelou-se apenas uma pausa temporária.
Focado no roubo de credenciais bancárias e carteiras de criptomoedas, o retorno do DanaBot é um alerta urgente sobre a resiliência do cibercrime e os desafios enfrentados pelas autoridades globais na contenção de ameaças que evoluem mais rápido do que são combatidas.
O que foi a Operação Endgame e por que ela falhou?
A Operação Endgame, lançada em maio de 2025, foi uma ação coordenada por diversas agências internacionais, incluindo Europol, FBI e Polícia Federal Alemã, com o objetivo de desmantelar redes de infraestrutura usadas por botnets e trojans bancários, entre eles o DanaBot, IcedID e SystemBC. A operação foi considerada um marco por derrubar dezenas de servidores e prender diversos operadores associados.
No entanto, o sucesso foi apenas parcial. A nova investigação da Zscaler mostra que a interrupção das operações do DanaBot foi temporária. O motivo está na própria estrutura descentralizada do cibercrime moderno. O DanaBot opera no modelo MaaS (Malware como Serviço), permitindo que diferentes grupos criminosos aluguem e mantenham versões personalizadas do malware, mesmo que parte da infraestrutura seja derrubada.
Além disso, os principais desenvolvedores e operadores por trás do código original aparentemente não foram detidos, mantendo o conhecimento e os recursos necessários para reconstruir a ameaça. Com o incentivo financeiro ainda presente, o roubo de dados e criptomoedas continua altamente lucrativo , o retorno era apenas uma questão de tempo.
As novidades do DanaBot v669
A Zscaler ThreatLabz identificou que o DanaBot v669 traz mudanças significativas que aumentam sua furtividade e capacidade de persistência. As modificações mais críticas estão relacionadas à infraestrutura de Comando e Controle (C2), agora reestruturada sobre a rede Tor, e à ampliação de vetores de ataque voltados ao roubo financeiro.
Infraestrutura C2 baseada em Tor
Um servidor de Comando e Controle (C2) é o ponto de comunicação entre o malware e seus operadores, permitindo o envio de instruções e a extração de dados roubados. Na versão 669, o DanaBot adota domínios .onion acessíveis apenas pela rede Tor, o que torna o rastreamento e o bloqueio significativamente mais difíceis para autoridades e provedores de segurança.
Essa mudança demonstra uma clara evolução na tática de evasão. Diferente das versões anteriores, que utilizavam endereços IP públicos ou domínios convencionais, o uso da rede Tor oferece anonimato total aos operadores e impede que a infraestrutura seja facilmente mapeada ou desativada.
O alvo continua o mesmo: Seu dinheiro
Apesar das mudanças técnicas, o objetivo central do DanaBot permanece o mesmo: roubar dinheiro. O malware continua focado em credenciais bancárias, carteiras de criptomoedas e informações sensíveis armazenadas nos navegadores.
A Zscaler identificou endereços de carteiras digitais usados pelos criminosos para receber fundos em Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC) e Tron (TRX), evidenciando que a operação mantém alto nível de atividade e sofisticação. O trojan também continua coletando cookies, tokens de autenticação e dados de formulários, ampliando seu potencial de invasão a contas e sistemas corporativos.
O histórico do DanaBot: De trojan bancário a MaaS
O DanaBot surgiu em 2018 e foi inicialmente documentado pela Proofpoint como um trojan bancário desenvolvido em Delphi. Seu objetivo era interceptar credenciais de acesso a contas financeiras, explorando principalmente usuários na Austrália e na Europa.
Com o tempo, o DanaBot evoluiu para um malware modular, capaz de incorporar novos componentes, como stealers de criptomoedas, keyloggers e módulos de spam. Essa arquitetura flexível permitiu que o software fosse alugado a outros grupos criminosos em um modelo MaaS (Malware as a Service), tornando-se um verdadeiro ecossistema de cibercrime.
Essa característica explica sua sobrevivência: mesmo com a derrubada da infraestrutura principal, múltiplas instâncias e cópias do código continuaram a circular em fóruns e mercados clandestinos, garantindo a continuidade das operações.
Como o DanaBot infecta e como se proteger
O DanaBot v669 mantém os mesmos vetores de infecção que o tornaram uma ameaça persistente ao longo dos anos. Ele se espalha principalmente por meio de campanhas de phishing, anúncios maliciosos (malvertising) e técnicas de envenenamento de SEO, que redirecionam usuários a sites falsos para baixar instaladores infectados.
Entre os principais métodos observados estão:
- E-mails maliciosos com anexos falsos (como PDFs ou planilhas) ou links para sites comprometidos.
- Envenenamento de SEO, em que criminosos manipulam resultados de busca para fazer páginas fraudulentas aparecerem como legítimas.
- Malvertising, que explora redes de anúncios para injetar código malicioso em sites legítimos.
Dicas de proteção para usuários
A proteção contra o DanaBot começa com práticas básicas, mas fundamentais de segurança.
- Desconfie de e-mails inesperados, especialmente os que solicitam ações urgentes ou downloads.
- Mantenha o Windows e o antivírus atualizados, garantindo que as correções de segurança estejam sempre aplicadas.
- Evite baixar programas ou atualizações de sites não oficiais. Prefira sempre os canais originais de desenvolvedores ou lojas verificadas.
- Utilize autenticação em duas etapas (2FA) para proteger contas bancárias e carteiras digitais.
Para organizações: Atualizando defesas
Administradores de sistemas e equipes de segurança devem estar atentos aos Indicadores de Comprometimento (IoCs) publicados pela Zscaler ThreatLabz. Esses dados devem ser adicionados a listas de bloqueio, ferramentas de detecção e firewalls corporativos.
Além disso, recomenda-se a segmentação de rede, a inspeção de tráfego Tor e o uso de soluções de monitoramento comportamental, capazes de identificar atividades suspeitas mesmo quando a comunicação é criptografada.
Conclusão: A resiliência do cibercrime
O retorno do malware DanaBot é mais uma prova de que nenhuma ameaça cibernética desaparece completamente enquanto houver motivação financeira e operadores em liberdade. Mesmo após uma operação internacional de grande escala como a Operação Endgame, o ecossistema do cibercrime continua a se adaptar e evoluir.
Para usuários e organizações, a lição é clara: a vigilância constante é a melhor defesa. Verifique se suas ferramentas de segurança estão ativas e atualizadas, redobre os cuidados com downloads e e-mails suspeitos e compartilhe este alerta para ajudar outros usuários Windows a se protegerem de uma das ameaças mais persistentes da última década.
