Theo các nhà nghiên cứu bảo mật tại hãng bảo mật đám mây Zscaler, có một biến thể mới của DanaBot (phiên bản 669) có cơ sở hạ tầng điều khiển và ra lệnh (C2) sử dụng tên miền Tor (.onion) và các nút “backconnect”. Zscaler cũng xác định và liệt kê một số địa chỉ tiền điện tử mà kẻ tấn công đang sử dụng để nhận tiền đã đánh cắp, dưới dạng BTC, ETH, LTC và TRX.
DanaBot lần đầu tiên được các nhà nghiên cứu Công ty an ninh mạng Proofpoint phát hiện là một Trojan ngân hàng dựa trên Delphi, phát tán qua email và quảng cáo độc hại. Mã độc này hoạt động theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS), được cho tội phạm mạng thuê với một khoản phí đăng ký.
Trong những năm tiếp theo, DanaBot phát triển thành một phần mềm đánh cắp và tải thông tin dạng mô-đun, nhắm mục tiêu vào thông tin đăng nhập và dữ liệu ví tiền điện tử được lưu trữ trong trình duyệt web.
Theo các nhà nghiên cứu, phần mềm độc hại này đã được các tin tặc sử dụng trong nhiều chiến dịch khác nhau, một số trong đó có phạm vi quy mô lớn và đôi lúc xuất hiện trở lại từ năm 2021 trở đi, vẫn là mối đe dọa thường trực đối với người dùng trên không gian mạng.
Vào tháng 5/2025, một nỗ lực thực thi pháp luật quốc tế có tên Operation Endgame đã phá vỡ cơ sở hạ tầng của Danabot và công bố các bản cáo trạng cùng lệnh tịch thu, làm suy giảm đáng kể hoạt động của tổ chức này. Tuy nhiên, theo Zscaler, phần mềm độc hại này đã hoạt động trở lại với cơ sở hạ tầng phát triển mới. Trong thời điểm hoạt động của mã độc bị gián đoạn, nhiều nhà môi giới truy cập ban đầu (IAB) đã chuyển sang các phần mềm độc hại khác.
Các phương pháp truy cập ban đầu điển hình được quan sát thấy trong các vụ lây nhiễm DanaBot bao gồm email độc hại (thông qua liên kết hoặc tệp đính kèm), đầu độc SEO và các chiến dịch quảng cáo độc hại, một số trong đó dẫn đến mã độc tống tiền.
Các tổ chức có thể bảo vệ chống lại các cuộc tấn công DanaBot bằng cách thêm vào danh sách chặn (blacklist) các chỉ số xâm phạm mới (IoC) từ Zscaler và bằng cách cập nhật các công cụ bảo mật của họ.
