Proofpoint研究人员发现了DanaBot的更新版本，这已经是该恶意软件的第四次重大更新。与DanaBot的早期版本一样，版本4是​​使用Delphi编程语言编写的大型多线程模块化恶意软件，通过各种软件和破解网站传播。加载程序组件（EXE）解密，解压缩并执行辅助DLL组件。辅助组件将移除加载程序，并重新执行本身。DanaBot的配置被硬编码成一个356字节的结构，其中C2的IP地址被硬编码为DWORD值，并且具有切换到基于TOR的C2的功能。C2请求中主要使用TCP端口443，请求和响应具有纯文本标头和命令数据。根据命令的不同，可以使用zlib和ZIP两种模式来压缩数据，数据使用生成的会话密钥，使用CBC模式AES-256加密。恶意软件接收到命令后可以启用内置的stealer和系统信息组件，stealer组件从各种软件（如Web浏览器和FTP客户端）窃取凭证。此外恶意软件还具备录屏、键盘记录、VNC/RDP、网络注入等功能。