Una nueva variante de troyano de acceso remoto llamada Bandook Se ha observado que se propaga mediante ataques de phishing con el objetivo de infiltrarse en máquinas con Windows, lo que subraya la continua evolución del malware.
Fortinet FortiGuard Labs, que identificó la actividad en octubre de 2023, dijo que el malware se distribuye a través de un archivo PDF que incorpora un enlace a un archivo .7z protegido con contraseña.
«Después de que la víctima extrae el malware con la contraseña del archivo PDF, el malware inyecta su carga útil en msinfo32.exe», afirma el investigador de seguridad Pei Han Liao. dicho.
Bandook, detectado por primera vez en 2007, es un malware disponible en el mercado que viene con una amplia gama de funciones para obtener control remoto de los sistemas infectados.
En julio de 2021, la empresa eslovaca de ciberseguridad ESET detalló una campaña de ciberespionaje que aprovechó una variante mejorada de Bandook para violar redes corporativas en países de habla hispana como Venezuela.
El punto de partida de la última secuencia de ataque es un componente inyector diseñado para descifrar y cargar la carga útil en msinfo32.exeun binario legítimo de Windows que recopila información del sistema para diagnosticar problemas informáticos.
El malware, además de realizar cambios en el Registro de Windows para establecer persistencia en el host comprometido, establece contacto con un servidor de comando y control (C2) para recuperar cargas útiles e instrucciones adicionales.
«Estas acciones se pueden clasificar a grandes rasgos como manipulación de archivos, manipulación de registros, descargas, robo de información, ejecución de archivos, invocación de funciones en archivos DLL desde el C2, control de la computadora de la víctima, eliminación de procesos y desinstalación de malware», dijo Han Liao.