Uma nova variante do trojan de acesso remoto chamado Bandook foi observada sendo propagada por meio de ataques de phishing com o objetivo de infiltrar máquinas Windows, destacando a evolução contínua do malware.
A Fortinet FortiGuard Labs, que identificou a atividade em outubro de 2023, disse que o malware é distribuído via um arquivo PDF que incorpora um link para um arquivo .7z protegido por senha.
"Depois que a vítima extrai o malware com a senha no arquivo PDF, o malware injeta sua payload no msinfo32.exe", disse o pesquisador de segurança Pei Han Liao.
O Bandook, detectado pela primeira vez em 2007, é um malware pronto para usar que vem com uma ampla gama de recursos para obter controle remoto dos sistemas infectados.
Em julho de 2021, a empresa eslovaca de segurança cibernética ESET detalhou uma campanha de espionagem cibernética que utilizou uma variante atualizada do Bandook para violar redes corporativas em países de língua espanhola, como a Venezuela.
O ponto de partida da sequência de ataque mais recente é um componente injetor projetado para descriptografar e carregar a payload no msinfo32.exe, um binário Windows legítimo que coleta informações do sistema para diagnosticar problemas de computador.
O malware, além de fazer alterações no Registro do Windows para estabelecer persistência no host comprometido, estabelece contato com um servidor de comando e controle (C2) para recuperar payloads e instruções adicionais.
"Essas ações podem ser categorizadas aproximadamente como manipulação de arquivos, manipulação de registro, download, roubo de informações, execução de arquivos, invocação de funções em DLLs do C2, controle do computador da vítima, eliminação de processos e desinstalação do malware", disse Han Liao.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...