Une nouvelle variante du cheval de Troie d’accès à distance appelée Bandook a été observé se propageant via des attaques de phishing dans le but d’infiltrer les machines Windows, soulignant l’évolution continue du malware.
Fortinet FortiGuard Labs, qui a identifié l’activité en octobre 2023, a déclaré que le malware est distribué via un fichier PDF qui intègre un lien vers une archive .7z protégée par mot de passe.
« Une fois que la victime a extrait le malware avec le mot de passe contenu dans le fichier PDF, le malware injecte sa charge utile dans msinfo32.exe », a déclaré le chercheur en sécurité Pei Han Liao. dit.
Bandook, détecté pour la première fois en 2007, est un malware disponible dans le commerce doté d’un large éventail de fonctionnalités permettant de prendre le contrôle à distance des systèmes infectés.
En juillet 2021, la société de cybersécurité slovaque ESET a détaillé une campagne de cyberespionnage qui exploitait une variante améliorée de Bandook pour pirater les réseaux d’entreprise dans des pays hispanophones comme le Venezuela.
Le point de départ de la dernière séquence d’attaque est un composant injecteur conçu pour décrypter et charger la charge utile dans msinfo32.exeun binaire Windows légitime qui rassemble des informations système pour diagnostiquer les problèmes informatiques.
Le malware, en plus d’apporter des modifications au registre Windows pour établir la persistance sur l’hôte compromis, établit un contact avec un serveur de commande et de contrôle (C2) pour récupérer des charges utiles et des instructions supplémentaires.
« Ces actions peuvent être grossièrement classées comme manipulation de fichiers, manipulation de registre, téléchargement, vol d’informations, exécution de fichiers, appel de fonctions dans les DLL à partir du C2, contrôle de l’ordinateur de la victime, suppression de processus et désinstallation du logiciel malveillant », a déclaré Han Liao.