DanaBot Kembali Setelah 6 Bulan Vakum, Targetkan Windows dengan Versi Baru
DanaBot, salah satu malware perbankan yang telah berevolusi menjadi infostealer modular, kembali aktif menyerang perangkat Windows setelah enam bulan tidak terdengar kabarnya. Aktivitasnya sebelumnya sempat terhenti akibat operasi internasional penegak hukum bertajuk Operation Endgame pada Mei 2025, yang berhasil mengganggu infrastruktur komando dan kontrolnya.
Menurut laporan peneliti keamanan Zscaler ThreatLabz, varian terbaru bertanda versi 669 kini beroperasi menggunakan infrastruktur C2 berbasis domain Tor (.onion) serta sejumlah node backconnect. Para peneliti juga mengidentifikasi beberapa alamat kripto (BTC, ETH, LTC, TRX) yang digunakan aktor ancaman untuk menerima dana hasil pencurian.
Evolusi DanaBot
Pertama kali diperkenalkan oleh Proofpoint, DanaBot dikenal sebagai trojan perbankan berbasis Delphi yang disebarkan melalui email berbahaya dan kampanye malvertising. Seiring waktu, malware ini berkembang menjadi platform modular yang mampu mencuri kredensial, dompet kripto di browser, serta bertindak sebagai loader untuk malware tambahan.
DanaBot beroperasi menggunakan model malware-as-a-service (MaaS), di mana kelompok kriminal membayar biaya langganan untuk mengakses malware dan infrastruktur pendukungnya. Sepanjang beberapa tahun terakhir, DanaBot terlibat dalam berbagai kampanye berskala besar dan tetap menjadi ancaman yang konsisten bagi pengguna internet, meskipun beberapa kali menghilang dan muncul kembali sejak 2021.
Infrastruktur Baru Pasca Operation Endgame
Operasi penegakan hukum pada Mei 2025 berhasil memukul operasi DanaBot secara signifikan melalui penyitaan server dan pengumuman dakwaan. Banyak initial access brokers (IAB) yang sebelumnya mengandalkan DanaBot akhirnya beralih menggunakan malware lain.
Namun, laporan terbaru menunjukkan bahwa DanaBot kini kembali aktif dengan infrastruktur yang dibangun ulang dari nol. Kebangkitan ini menyoroti ketahanan kelompok kriminal siber yang terus beroperasi selama insentif finansial masih ada—terutama ketika operator inti tidak ditangkap.
Metode Infeksi yang Masih Digunakan
Serangan DanaBot terbaru masih menggunakan metode awal yang umum dijumpai, termasuk:
- Email berbahaya dengan tautan atau lampiran,
- SEO poisoning,
- Kampanye malvertising yang terkadang menjadi pintu masuk bagi serangan ransomware.
Organisasi disarankan untuk memperbarui daftar blokir dengan indikator kompromi (IoC) terbaru dari Zscaler serta memastikan alat keamanan mereka diperbarui, guna memutus rantai infeksi sebelum ancaman ini berkembang lebih jauh.
