Uma nova variante do trojan de acesso remoto chamado Bandook foi observada sendo propagada por meio de ataques de phishing com o objetivo de infiltrar máquinas Windows, destacando a evolução contínua do malware.
A Fortinet FortiGuard Labs, que identificou a atividade em outubro de 2023, disse que o malware é distribuído via um arquivo PDF que incorpora um link para um arquivo .7z protegido por senha.
"Depois que a vítima extrai o malware com a senha no arquivo PDF, o malware injeta sua payload no msinfo32.exe", disse o pesquisador de segurança Pei Han Liao.
O Bandook, detectado pela primeira vez em 2007, é um malware pronto para usar que vem com uma ampla gama de recursos para obter controle remoto dos sistemas infectados.
Em julho de 2021, a empresa eslovaca de segurança cibernética ESET detalhou uma campanha de espionagem cibernética que utilizou uma variante atualizada do Bandook para violar redes corporativas em países de língua espanhola, como a Venezuela.
O ponto de partida da sequência de ataque mais recente é um componente injetor projetado para descriptografar e carregar a payload no msinfo32.exe, um binário Windows legítimo que coleta informações do sistema para diagnosticar problemas de computador.
O malware, além de fazer alterações no Registro do Windows para estabelecer persistência no host comprometido, estabelece contato com um servidor de comando e controle (C2) para recuperar payloads e instruções adicionais.
"Essas ações podem ser categorizadas aproximadamente como manipulação de arquivos, manipulação de registro, download, roubo de informações, execução de arquivos, invocação de funções em DLLs do C2, controle do computador da vítima, eliminação de processos e desinstalação do malware", disse Han Liao.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...