Uzaktan erişim truva atının yeni bir çeşidi adı verildi Bandook Windows makinelerine sızmak amacıyla kimlik avı saldırıları yoluyla yayıldığı gözlemlendi, bu da kötü amaçlı yazılımın sürekli gelişiminin altını çiziyor.
Etkinliği Ekim 2023’te tespit eden Fortinet FortiGuard Labs, kötü amaçlı yazılımın, şifre korumalı bir .7z arşivine bağlantı içeren bir PDF dosyası aracılığıyla dağıtıldığını söyledi.
Güvenlik araştırmacısı Pei Han Liao, “Kurban, PDF dosyasındaki şifreyle kötü amaçlı yazılımı çıkardıktan sonra, kötü amaçlı yazılım, yükünü msinfo32.exe dosyasına enjekte ediyor.” söz konusu.
İlk olarak 2007’de tespit edilen Bandook, etkilenen sistemlerin uzaktan kontrolünü ele geçirmek için çok çeşitli özelliklerle birlikte gelen kullanıma hazır bir kötü amaçlı yazılımdır.
Temmuz 2021’de Slovak siber güvenlik firması ESET, Venezuela gibi İspanyolca konuşulan ülkelerde kurumsal ağlara sızmak için Bandook’un yükseltilmiş bir versiyonundan yararlanan bir siber casusluk kampanyasını ayrıntılarıyla anlattı.
En son saldırı dizisinin başlangıç noktası, yükün şifresini çözüp yüklemek için tasarlanmış bir enjektör bileşenidir. msinfo32.exebilgisayar sorunlarını teşhis etmek için sistem bilgilerini toplayan meşru bir Windows ikili programıdır.
Kötü amaçlı yazılım, tehlikeye atılan ana bilgisayarda kalıcılık sağlamak için Windows Kayıt Defteri değişiklikleri yapmanın yanı sıra, ek yükleri ve talimatları almak için bir komut ve kontrol (C2) sunucusuyla bağlantı kurar.
Han Liao, “Bu eylemler kabaca dosya manipülasyonu, kayıt defteri manipülasyonu, indirme, bilgi çalma, dosya yürütme, C2’den DLL’lerdeki işlevlerin çağrılması, kurbanın bilgisayarını kontrol etme, süreç öldürme ve kötü amaçlı yazılımın kaldırılması olarak sınıflandırılabilir.” dedi.