Una nuova variante del trojan di accesso remoto Bandook è stata osservata mentre si diffonde attraverso attacchi di phishing, con l’obiettivo di infiltrarsi nei sistemi Windows. Questo sottolinea l’evoluzione continua del malware, che è stato identificato per la prima volta nel 2007.
Propagazione tramite Phishing
Fortinet FortiGuard Labs ha rilevato questa attività in ottobre 2023, segnalando che il malware viene distribuito tramite un file PDF che incorpora un link a un archivio .7z protetto da password. Una volta che la vittima estrae il malware usando la password fornita nel file PDF, il malware inietta il suo payload in msinfo32.exe, un eseguibile legittimo di Windows che raccoglie informazioni di sistema per diagnosticare problemi del computer.
Caratteristiche e impatto
Bandook è un malware “pronto all’uso” che offre un’ampia gamma di funzionalità per ottenere il controllo remoto dei sistemi infetti. Oltre a modificare il Registro di sistema di Windows per stabilire la persistenza sull’host compromesso, stabilisce il contatto con un server di comando e controllo (C2) per recuperare ulteriori payload e istruzioni.
Le azioni del malware possono essere categorizzate come manipolazione di file, manipolazione del registro, download, furto di informazioni, esecuzione di file, invocazione di funzioni in DLL dal C2, controllo del computer della vittima, terminazione di processi e disinstallazione del malware.
Precedenti attacchi e evoluzione
Nel luglio 2021, la società di cybersecurity slovacca ESET ha dettagliato una campagna di spionaggio informatico che sfruttava una variante aggiornata di Bandook per violare le reti aziendali in paesi di lingua spagnola, come il Venezuela. Questo dimostra come Bandook sia stato utilizzato in diverse campagne di cyber spionaggio negli anni.