DanaBot malware Windows : le cheval de Troie est de retour

Laisser un commentaire / Par /
DanaBot malware Windows revient en version 669 avec une nouvelle infrastructure C2 sur Tor

Après six mois de silence, DanaBot malware Windows refait parler de lui. Disrupté au printemps par l’opération internationale Operation Endgame, ce cheval de Troie bancaire revient dans une nouvelle version 669, avec une infrastructure reconstruite et des tactiques encore plus discrètes. Les chercheurs de Zscaler ThreatLabz confirment que la campagne est à nouveau active, ciblant les utilisateurs Windows à grande échelle.

DanaBot : de cheval de Troie bancaire à plateforme MaaS

Découvert en 2018 par Proofpoint, DanaBot est à l’origine un trojan bancaire diffusé via des campagnes d’e-mails malveillants et de malvertising. Très vite, il adopte un modèle malware-as-a-service (MaaS) : le noyau est développé et maintenu par un groupe, puis loué à des “affiliés” qui mènent leurs propres campagnes.

Au fil des années, DanaBot a évolué en malware modulaire :

  • Voleur d’identifiants (credentials) dans les navigateurs
  • Récupération de cookies et données de portefeuille crypto
  • Capacités de loader, capable de déposer d’autres charges utiles (dont parfois du ransomware)

De 2021 à 2024, il réapparaît régulièrement dans des campagnes de grande ampleur, notamment via supply chain, malvertising et kits de phishing.

Operation Endgame : un coup d’arrêt… mais pas la fin

En mai 2025, l’opération internationale Operation Endgame, coordonnée par Europol, vise plusieurs écosystèmes de loaders et trojans bancaires : DanaBot, IcedID, Bumblebee, etc. Résultat :

  • Saisies de serveurs et de domaines C2
  • Arrestations ciblées
  • Communication massive pour faire chuter l’usage de ces familles.

Version 669 : une nouvelle génération plus discrète

Fin 2025, Zscaler ThreatLabz observe une nouvelle variante, identifiée comme version 669. Les grandes lignes :

  • Nouvelle infrastructure C2 :
    • Utilisation de domaines .onion (Tor)
    • Nœuds de “backconnect” pour prendre la main à distance
  • Adresses crypto (BTC, ETH, LTC, TRX) liées aux campagnes en cours
  • Modularité accrue : capacité à mettre à jour les modules et paramètres d’infection à la volée

En gros: les opérateurs ont modernisé la stack pour la rendre plus résistante à la détection et au takedown.

Vecteurs d’attaque : comment DanaBot entre dans les systèmes

Les modes d’infection observés pour DanaBot malware Windows restent classiques… mais redoutablement efficaces :

  1. E-mails malveillants
    • Pièces jointes (documents Office, archives) contenant macros ou loaders
    • Liens vers des sites de téléchargement piégés
  2. SEO poisoning
    • Faux sites positionnés sur des recherches liées à des logiciels gratuits, cracks, utilitaires système
    • L’utilisateur croit télécharger un outil légitime, installe en réalité le loader DanaBot
  3. Malvertising
    • Publicités malicieuses redirigeant vers des installateurs piégés
    • Souvent couplées à des domaines qui imitent des sites connus

Une fois en place, DanaBot peut :

  • Surveillance de la machine (OS, logiciels, réseau)
  • Vol d’identifiants et cookies, notamment bancaires
  • Téléchargement d’autres malwares (ransomware, outils d’accès distant, stealers)

Pourquoi le retour de DanaBot est préoccupant

Même après Operation Endgame, le retour de DanaBot malware Windows montre plusieurs réalités du paysage cyber :

  • Les opérateurs disposent de ressources et compétences pour rebâtir une infrastructure en quelques mois.
  • Tant que les acteurs clés ne sont pas arrêtés, une action de démantèlement ne reste qu’un ralentissement.
  • Pour les entreprises, DanaBot est un excellent outil d’accès initial : derrière, on peut très bien voir débarquer du ransomware ou de l’espionnage ciblé.

À retenir

DanaBot malware Windows revient avec une version 669 plus modulaire, appuyée sur des C2 en .onion et de nouveaux wallets crypto.

Malgré Operation Endgame, ses opérateurs montrent une forte résilience : seule une partie de l’écosystème a été durablement neutralisée.

Pour les entreprises, DanaBot reste un vecteur d’accès initial de choix vers des attaques plus graves, notamment le ransomware.

La défense passe par une combinaison : filtrage e-mail/web, EDR, mise à jour, sensibilisation et exploitation systématique des IoC publiés par les chercheurs.

Merci d’avoir lu. Si ce sujet vous a été utile, partagez l’article et abonnez-vous à nos actus. Pour aller plus loin : lisez nos derniers articles:

Enceintes Bluetooth : au cœur d’un vol de voitures

–OpenAI GPT-5.1 : ce qui change vraiment (et pour qui)

Votre avis compte. Dites-nous en commentaire ce que vous pensez du sujet et des garde-fous à mettre en place.

Partagez l’article si vous l’avez trouvé utile — ça nous aide beaucoup.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut