Danabot est de retour en force. Démantelé par les autorités américaines en mai dernier lors de l’opération Endgame, le virus russe a été impliqué dans plusieurs cyberattaques récentes à l’encontre des ordinateurs Windows.
En mai dernier, les autorités américaines ont démantelé Danabot, un malware russe spécialisé dans le vol de données. Avant son démantèlement, le virus avait infecté 300 000 ordinateurs dans le monde et causé 50 millions de dollars de dégâts. Le court-circuitage de Danabot s’inscrivait dans le cadre de la grande opération Endgame, menée par Europol et la justice américaine, à l’encontre de plusieurs logiciels malveillants.
Plusieurs mois après l’offensive des États-Unis, Danabot est de retour d’entre les morts. En novembre 2025, les chercheurs de Zscaler ThreatLabz ont constaté l’apparition d’une nouvelle variante du malware. Il s’agit de la version 669 qui fait actuellement des ravages.
Danabot has resurfaced with version 669 after nearly a 6 month hiatus following the Operation Endgame law enforcement actions in May.
The current C2s are the following:
62.60.226[.]146:443
62.60.226[.]154:443
80.64.19[.]39:443… pic.twitter.com/B8ABhP17eV— Zscaler ThreatLabz (@Threatlabz) November 10, 2025
À lire aussi : Ce nouveau malware écrit et clique comme un humain pour passer inaperçu
Des campagnes de phishing en cours
Les experts ont enregistré une série de cyberattaques s’appuyant sur Danabot et visant les ordinateurs tournant sous Windows. Les offensives débutent par une campagne de phishing. Les cybercriminels diffusent le malware par le biais de mails contenant des liens malveillants ou des pièces jointes frauduleuses. Les pirates partagent aussi Danabot par le biais de publicités frauduleuses qui redirigent les internautes vers des sites infectés.
Dans tous les cas, le but est d’inciter la victime à installer le malware sur son ordinateur. Une fois installé sur une machine, DanaBot vise particulièrement les informations stockées dans les navigateurs, tels que des identifiants, des mots de passe, des cookies et des clés privées de portefeuilles de cryptomonnaies. Zscaler ThreatLabz a d’ailleurs identifié plusieurs adresses crypto détenues par les pirates, dont des adresses sur la blockchain Bitcoin et Ethereum.
À lire aussi : 115 millions de cartes bancaires piratées – Google riposte contre les hackers chinois de Lighthouse
Les tactiques de la version 669 de Danabot
Comme beaucoup de malwares avancés, il ne se contente pas de s’installer simplement sur le disque dur de l’ordinateur compromis. Pour éviter d’être détecté et supprimé par les antivirus ou les outils de sécurité de Microsoft, il insère son propre code malveillant à l’intérieur de programmes légitimes qui fonctionnent sur le système, comme explorer.exe (l’explorateur de fichiers Windows) ou svchost.exe (qui gère de nombreux services Windows). La tactique permet au virus d’opérer en toute discrétion. En effet, les solutions de sécurité passent généralement à côté des programmes légitimes qui renferment le code de Danabot. En parallèle, DanaBot créer des tâches planifiées dans Windows. Ces tâches automatiques se déclenchent à intervalles réguliers ou à chaque démarrage de l’ordinateur. L’astuce garantit que le malware reste actif et se réinstalle même après un redémarrage.
Tout porte à croire que l’infrastructure du virus a été reconstruite brique par brique. Il est possible qu’il s’agisse des cybercriminels russes qui ont échappé à l’opération Endgame de mai dernier. Basés en Russie, ils ont pu échapper aux forces de l’ordre américaines.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.